1 Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz ...
1 Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz ...
1 Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
1<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong><br />
E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong><br />
<strong>Arbeitsplatz</strong><br />
Für öffentliche Verwaltungen <strong>und</strong><br />
Privatwirtschaft<br />
Der eidgenössische<br />
Datenschutzbeauftragte<br />
informiert
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
3<br />
Herausgeber: Der eidgenössische Datenschutzbeauftragte<br />
3003 Bern
4<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
Inhaltsverzeichnis<br />
Einleitung: Das Surfen <strong>und</strong> die <strong>Überwachung</strong> 6<br />
1. Die wichtigsten netzbasierten Anwendungen 8<br />
1.1 Anwendungen ohne inhaltliche Speicherung 8<br />
1.2 Anwendungen mit inhaltlicher Speicherung 8<br />
2. Tangierte Interessen des Arbeitgebers 10<br />
3. Technische <strong>und</strong> organisatorische Schutzmassnahmen 12<br />
4. Beim Surfen hinterlassene Spuren 16<br />
5. Das Nutzungsreglement <strong>über</strong> privates Surfen <strong>und</strong> <strong>Mail</strong>en 20<br />
6. Gesetzliche Gr<strong>und</strong>lagen der <strong>Überwachung</strong> 23<br />
7. Die wichtigsten rechtlichen Voraussetzungen für die<br />
<strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<strong>Mail</strong>-Nutzung 26<br />
7.1 Die vorherige Information 26<br />
7.2 Die Feststellung eines Missbrauches 27<br />
8. Die <strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<strong>Mail</strong>-<br />
Benutzung <strong>am</strong> <strong>Arbeitsplatz</strong> 28<br />
8.1 <strong>Überwachung</strong> im Rahmen der Gewährleistung der<br />
Sicherheit <strong>und</strong> der Funktionstüchtigkeit des betrieblichen<br />
EDV-Systems 28<br />
8.2 <strong>Überwachung</strong> aufgr<strong>und</strong> anderer Hinweise 29<br />
8.3 <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der<br />
Protokollierungen 29<br />
8.4 Die <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der<br />
Surfprotokollierungen 30<br />
8.4.1 Erste Phase: Nichtpersonenbezogene <strong>Überwachung</strong> 30<br />
8.4.2 Zweite Phase: Personenbezogene <strong>Überwachung</strong> 31<br />
8.5 Die <strong>Überwachung</strong> des E-<strong>Mail</strong>-Verkehrs 32<br />
8.5.1 Die <strong>Überwachung</strong> des privaten e-<strong>Mail</strong>-Verkehrs 32<br />
8.5.1.1 Vorgehensweise 34<br />
8.5.2 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs 34<br />
8.5.2.1 Die E-<strong>Mail</strong>-Verwaltung während Abwesenheiten 35<br />
8.5.2.2 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Angestellten 35<br />
8.5.3 Besondere Fälle der E-<strong>Mail</strong>-<strong>Überwachung</strong> 35<br />
8.6 Teleworker 36<br />
9. Die <strong>Überwachung</strong> im Falle einer Straftat 37<br />
10. Sanktionen bei Missbrauch 38<br />
11. Ansprüche des Arbeitnehmers bei unzulässiger<br />
<strong>Überwachung</strong> 40
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
5<br />
Anhang A: Situationsschema 41<br />
Anhang B: Voraussetzungen <strong>und</strong> Ablauf 42<br />
B.1 Die Voraussetzungen der <strong>Überwachung</strong> 42<br />
B.2 Der Ablauf der <strong>Überwachung</strong> 43<br />
B.3 Das Auswertungsverfahren 44<br />
Anhang C: Musterreglement <strong>über</strong> die Surfen- <strong>und</strong><br />
E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> 45<br />
C.1 Zweck <strong>und</strong> Geltungsbereich 45<br />
C.1.1 Zweck 45<br />
C.1.2 Geltungsbereich 45<br />
C.2 Interessen <strong>und</strong> Risiken des Arbeitgebers <strong>und</strong><br />
Arbeitnehmers 45<br />
C.2.1 Interessen <strong>und</strong> Risiken des Arbeitgebers 45<br />
C.2.2 Interessen <strong>und</strong> Risiken des Arbeitnehmers 45<br />
C.3 Technische Schutzmassnahmen <strong>und</strong><br />
Protokollierungen 46<br />
C.3.1 Technische Schutzmassnahmen 46<br />
C.3.2 Protokollierungen 46<br />
C.4 Nutzungsregelung 46<br />
C.5 <strong>Überwachung</strong>sregelung 47<br />
C.5.1 Vorrang technischer Schutzmassnahmen 47<br />
C.5.2 Auswertung der Protokollierungen 47<br />
C.5.3 <strong>Überwachung</strong> im Rahmen der Gewährleistung<br />
der Sicherheit <strong>und</strong> Funktionstüchtigkeit des<br />
betrieblichen EDV-Systems oder aufgr<strong>und</strong> anderer<br />
Hinweise 48<br />
C.5.4 Unterscheidung zwischen private <strong>und</strong><br />
geschäftliche E-<strong>Mail</strong>s 48<br />
C.5.5 Die <strong>Überwachung</strong> des geschäftlichen<br />
E-<strong>Mail</strong>-Verkehrs 49<br />
C.5.6 Die E-<strong>Mail</strong>-Verwaltung bei Abwesenheiten<br />
eines Mitarbeiters 49<br />
C.5.7 Die E-<strong>Mail</strong>-Verwaltung beim Austritt<br />
eines Mitarbeiters 49<br />
C.5.8 Sanktionen bei Missbrauch 49<br />
C.5.9 Ansprüche des Mitarbeiters bei unzulässiger<br />
<strong>Überwachung</strong> durch die Firma 50<br />
C.5.10 Weitere Bestimmungen 50
6<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
Einleitung: Das Surfen <strong>und</strong> die <strong>Überwachung</strong><br />
Der Einzug der neuen Technologien in die Arbeitswelt hat Produktivität<br />
<strong>und</strong> Qualität eines Unternehmens gesteigert, brachte aber gleichzeitig<br />
weniger erfreuliche Phänomene mit sich: Unerlaubtes oder <strong>über</strong>mässiges<br />
Surfen <strong>und</strong> E-<strong>Mail</strong>en während der Arbeitszeit schadet den Unternehmen<br />
nicht nur finanziell, sondern kann auch den ganzen Datenverkehr<br />
eines Betriebs lahm legen, die Speicherkapazität <strong>über</strong>fordern oder<br />
sogar den ges<strong>am</strong>ten elektronischen <strong>Arbeitsplatz</strong> blockieren. Dar<strong>über</strong><br />
hinaus kann das Besuchen illegaler <strong>Internet</strong>seiten für das Unternehmen<br />
nicht nur rufschädigend sein, sondern auch rechtliche Konsequenzen<br />
haben. Die Schutzmassnahmen, die der Arbeitgeber gegen<br />
Missbräuche des Surfens oder des E-<strong>Mail</strong>s einsetzt, sind oft nicht weniger<br />
zweifelhaft. Spionprogr<strong>am</strong>me <strong>und</strong> permanente n<strong>am</strong>entliche Auswertungen<br />
der Protokollierungen sind verbotene Beschnüffelungen der<br />
Arbeitnehmer. Ein Umdenken ist gefordert: Der Arbeitgeber hat seine<br />
Bemühungen auf die technische Prävention zu konzentrieren. Statt die<br />
Arbeitnehmer zu <strong>über</strong>wachen soll er technische Schutzmassnahmen<br />
einsetzen, die unerwünschtes Surfen in Grenzen halten <strong>und</strong> das Unternehmen<br />
vor technischem Schaden schützen. Nur wenn ein Missbrauch<br />
so nicht verhindert werden kann, darf er nach vorheriger Information im<br />
<strong>Überwachung</strong>sreglement n<strong>am</strong>entliche Auswertungen der Protokollierungen<br />
vornehmen. Fehlt ein Missbrauch <strong>und</strong> eine vorherige Information,<br />
dürfen die <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Protokollierungen nur in anonymer<br />
oder pseudonymer Weise ausgewertet werden. Der Arbeitgeber muss<br />
sich aber auch die Frage stellen, ob <strong>und</strong> in welchem Umfang ein <strong>Internet</strong>zugang<br />
für jeden Arbeitnehmer notwendig ist. Gegebenenfalls kann<br />
das E-<strong>Mail</strong> ohne Surfmöglichkeit zur Verfügung gestellt werden. Es darf<br />
auf jeden Fall nicht ausser Acht gelassen werden, dass durch Verb<strong>und</strong><br />
der Firma mit dem <strong>Internet</strong> oder E-<strong>Mail</strong> Kontakt- <strong>und</strong> Angriffsmöglichkeiten<br />
von der Aussenwelt geschaffen werden.<br />
Der Gesetzgeber hat sich mit den Rechten <strong>und</strong> Pflichten von Arbeitgeber<br />
<strong>und</strong> Arbeitnehmer in dieser Thematik bis heute kaum auseinander<br />
gesetzt. Dieser <strong>Leitfaden</strong> soll einerseits die betroffenen Personen sensibilisieren,<br />
andererseits den Gesetzgeber zur Schaffung der nötigen gesetzlichen<br />
Gr<strong>und</strong>lagen anspornen.<br />
Der <strong>Leitfaden</strong> setzt sich zunächst mit den wichtigsten netzbasierten<br />
Anwendungen, deren Spuren sowie den tangierten Interessen des Arbeitgebers<br />
<strong>und</strong> den entsprechenden technischen Schutzmassnahmen<br />
auseinander. Anschliessend werden die heutigen gesetzlichen Gr<strong>und</strong>lagen,<br />
die Voraussetzungen <strong>und</strong> der Ablauf der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Über-
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
7<br />
wachung erörtert. Zum Schluss wird auf die Folgen missbräuchlicher<br />
<strong>Internet</strong>nutzungen <strong>und</strong> -<strong>über</strong>wachungen hingewiesen. Situations- <strong>und</strong><br />
Ablaufschemas sowie ein Musterreglement im Anhang stellen die wichtigsten<br />
Punkte <strong>über</strong>sichtlich dar.
8<br />
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
1. Die wichtigsten netzbasierten Anwendungen<br />
Das <strong>Internet</strong> bietet eine Vielzahl von Anwendungen, die allgemein <strong>Internet</strong>dienste<br />
genannt werden, jedoch auch firmeninterne Netzdienste (Intranet)<br />
umfassen. Diese sogenannten netzbasierten Anwendungen<br />
können in zwei grösseren Kategorien unterteilt werden, diejenigen<br />
ohne <strong>und</strong> diejenigen mit inhaltlicher Speicherung auf einem Datenträger.<br />
1.1 Anwendungen ohne inhaltliche Speicherung<br />
Unter Anwendungen ohne inhaltliche Speicherung auf einem Datenträger<br />
fällt zunächst das klassische Surfen auf dem World Wide Web,<br />
d. h. das Sichten von Webseiten, die auf unterschiedlichen Rechnern<br />
(Web Server) abgelegt sind <strong>und</strong> <strong>über</strong> eine eigene Adresse (URL 1 ) direkt<br />
abgerufen werden können. Das Surfen ermöglicht ausserdem die Verwaltung<br />
von E-<strong>Mail</strong>s in Briefkasten (webbased E-<strong>Mail</strong>), welche bei <strong>Internet</strong>dienstanbietern<br />
(ISP: <strong>Internet</strong> Service Providers) beherbergt sind.<br />
Spezielle Suchmaschinen wie Altavista oder Google ermöglichen eine<br />
Art Volltextsuche in einer weltweiten Datenbank nach benutzerdefinierten<br />
Kriterien. Von multimedialem Surfen spricht man dann, wenn<br />
Audio- <strong>und</strong> Videoquellen sowie die Telephonie (VoIP: Voice over IP) netzbasiert<br />
sind.<br />
Die sogenannten Newsgroups stellen öffentliche Diskussionsforen<br />
dar. Sie beruhen auf dem Prinzip des „Schwarzen Bretts“ <strong>und</strong> werden<br />
daher als elektronische Pinnwand bezeichnet. Alle Teilnehmenden einer<br />
Newsgroup können Nachrichten abgeben, die dann von allen <strong>Internet</strong>nutzern<br />
abgerufen, gelesen oder beantwortet werden können.<br />
Beim <strong>Internet</strong> Relay Chat (IRC) <strong>und</strong> beim Instant Messaging findet<br />
<strong>über</strong> die Tastatur des Computers ein gesprächsartiger Meinungsaustausch<br />
in Echtzeit statt. Allen Teilnehmenden des Chat wird ein N<strong>am</strong>e,<br />
meistens ein Pseudonym, zugewiesen, der es ermöglicht zu erkennen,<br />
von wem die Beiträge st<strong>am</strong>men.<br />
1.2 Anwendungen mit inhaltlicher Speicherung<br />
Bei Anwendungen mit inhaltlicher Speicherung auf einem Datenträger<br />
geht es hauptsächlich um das Herunterladen von Dateien (Download)<br />
mittels Protokollen wie HTTP oder FTP. Klassische Beispiele hierfür sind<br />
Freeware/Shareware-Anwendungsprogr<strong>am</strong>me wie Spiele oder Mediadateien<br />
(Bilder, Audio oder Video).
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
9<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
In diese Kategorie gehört zudem das Empfangen <strong>und</strong> Versenden von<br />
Nachrichten mit elektronischer Post, dem sogenannten E-<strong>Mail</strong>. Auf<br />
diese Weise können Texte, gegebenenfalls mit angehängten Dateien aller<br />
Art, gezielt an andere Netzteilnehmende <strong>über</strong>mittelt werden.<br />
Ohne Inhaltsverschlüsselung ist die Vertraulichkeit der E-<strong>Mail</strong>s mit derjenigen<br />
einer Postkarte vergleichbar, weshalb die „sensiblen“ Inhalte<br />
durch den Benutzer verschlüsselt werden müssen.<br />
Beteiligt sich der Arbeitnehmer an einer <strong>Mail</strong>ing-List mit seiner geschäftlichen<br />
E-<strong>Mail</strong>-Adresse, so wird dadurch die Speicherkapazität<br />
<strong>und</strong> den Netzwerkdurchsatz (throughput) der Firma sowie die Arbeitszeit<br />
des Arbeitnehmers beansprucht.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
10<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
2. Tangierte Interessen des Arbeitgebers<br />
Durch Benutzung des vernetzten Computers <strong>am</strong> <strong>Arbeitsplatz</strong> können<br />
bestimmte Interessen <strong>und</strong> technische Einrichtungen des Arbeitgebers<br />
beeinträchtigt werden. Dies betrifft folgende Bereiche:<br />
- Speicherkapazität <strong>und</strong> Netzwerkdurchsatz, durch <strong>über</strong>mässige Surfen-<br />
<strong>und</strong> E-<strong>Mail</strong>-Nutzung;<br />
- Daten- <strong>und</strong> Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit),<br />
durch Einfuhr von Viren, Würmern, Trojanischen Pferden oder<br />
Installation von fremden Progr<strong>am</strong>men;<br />
- Arbeitszeit <strong>und</strong> andere finanzielle Interessen (Produktivitätsverluste,<br />
Kostensteigerung für zusätzliche Mittel <strong>und</strong>/oder Leistungen, Netzkosten,<br />
usw.);<br />
- weitere rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations-<br />
<strong>und</strong> Geschäftsgeheimnisse oder Datenschutz.<br />
Die Speicherkapazität wird hauptsächlich durch heruntergeladene<br />
Dateien oder E-<strong>Mail</strong>s beansprucht (vgl. Kapitel 1).<br />
In der Regel verbleiben ein- <strong>und</strong> ausgehende E-<strong>Mail</strong>s in einem elektronischen<br />
Briefkasten eines Firmenservers, wo sie der Arbeitnehmer entweder<br />
speichern oder löschen kann, nachdem er sie gelesen bzw. verschickt<br />
hat. Die Speicherung betrifft einerseits protokollierte Randdaten<br />
wie Absender, Empfänger, Betreffzeile oder Datum, anderseits den Inhalt<br />
des E-<strong>Mail</strong>s. Durch angehängte Dokumente (Anlagen) wird die Speicherkapazität<br />
der Firma zusätzlich belastet. Die (logische) Löschung<br />
von E-<strong>Mail</strong>s erfolgt durch ihre Verschiebung in den Ordner „gelöschte<br />
Objekte“. Die „definitive“ Entfernung aus diesem Ordner erfolgt durch<br />
einen weiteren Löschungsbefehl.<br />
Der Netzwerkdurchsatz wird hingegen sowohl bei den Anwendungen<br />
mit als auch bei denen ohne inhaltliche Speicherung beansprucht.<br />
Durch Installation fremder Progr<strong>am</strong>me wie heruntergeladene Bildschirmschoner<br />
oder Spiele können berufliche Anwendungen unzugänglich<br />
gemacht (Verfügbarkeit) oder gefälscht (Integrität/Vertraulichkeit)<br />
werden.<br />
Die Hauptkategorien von Computerinfektionen sind Viren, Würmer <strong>und</strong><br />
Trojanische Pferde.<br />
Ein Virus ist ein Progr<strong>am</strong>mstück, das sich vervielfacht, in andere Progr<strong>am</strong>me<br />
hineinkopiert <strong>und</strong> zugleich schädliche Funktionen in einem<br />
Rechnersystem ausführen kann 2 . Viren werden von externen Quellen
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
11<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
wie E-<strong>Mail</strong>s, Disketten, Spiele oder Freeware eingeführt. Bestimmte Virenarten<br />
zerstören beispielsweise die Integrität einer Datei, indem sie<br />
Buchstaben ändern, andere können die ges<strong>am</strong>te Datei zerstören.<br />
Dadurch kann u. U. die Funktionstüchtigkeit des Computers gefährdet<br />
werden (z. B. durch Zerstörung des Bootsektors).<br />
Ein Wurm ist ein eigenständiges Progr<strong>am</strong>m, das sich selbst durch Kopieren<br />
von einem System zum nächsten fortpflanzt, üblicherweise <strong>über</strong><br />
ein Netzwerk. Ein Wurm kann, wie ein Virus, Daten direkt zerstören oder<br />
die Systemleistung heruntersetzen. Im weiteren schaden Würmer typischerweise,<br />
indem sie Trojanische Pferde <strong>über</strong>tragen.<br />
Mit Hilfe dieser Trojanischen Pferde können z.B. Passwörter gestohlen<br />
werden, die es dann ermöglichen, Daten unerlaubterweise anzusehen,<br />
weiterzuleiten, zu verändern oder zu löschen. Ein Trojanisches<br />
Pferd ist ein eigenständiges Progr<strong>am</strong>m, das vordergründig eine vorgesehene<br />
Aufgabe verrichtet, zusätzlich jedoch eine oder mehrere verborgene<br />
Funktionen enthält 3 . Wenn ein Benutzer das Progr<strong>am</strong>m aufruft,<br />
führt das Trojanische Pferd zusätzlich eine ungewollte sicherheitskritische<br />
Aktion aus. Die meisten Spionprogr<strong>am</strong>me (vgl. Kapitel 4) gehören<br />
auch zu den Trojanischen Pferden.<br />
Die Benutzung des Computernetzes verursacht in unterschiedlicher<br />
Weise Kosten, entweder pauschal oder zeit- <strong>und</strong>/oder volumenabhängig.<br />
Im Falle der Pauschaltariflösung (Mietleitung) spielt es für die effektiven<br />
Kosten keine Rolle, wie lange jemand surft, wohl aber im Zus<strong>am</strong>menhang<br />
mit der verwendeten Arbeitszeit. Eine erhöhte Bandbreitenkapazität<br />
kann ausserdem erforderlich sein.<br />
Weitere Kosten für den Arbeitgeber können durch die Nutzung von kostenpflichtigen<br />
Web-Angeboten entstehen, wenn der Zugriff in dessen<br />
N<strong>am</strong>en bzw. mit dessen Kreditkarte erfolgt. Arbeitnehmer können auch<br />
bewusst oder unbewusst im N<strong>am</strong>en der Firma im <strong>Internet</strong> Rechtsgeschäfte<br />
abschliessen <strong>und</strong> den Arbeitgeber dadurch verantwortlich machen.<br />
Fabrikations- <strong>und</strong> Geschäftsgeheimnisse sowie der Datenschutz<br />
der Firma können auch gefährdet werden, z. B. wenn vertrauliche Informationen<br />
per E-<strong>Mail</strong> an Unberechtigte versendet werden. Diese Gefahr<br />
wird erhöht durch den zunehmenden Einsatz von portablen Arbeitsinstrumenten<br />
wie Laptops, Personal Digital Assistants oder Handys. Die<br />
nachstehend erwähnten technischen Schutzmassnahmen finden bei<br />
diesen Geräten nur beschränkte Anwendung. Zusätzlich besteht die<br />
Gefahr, Geschäftsgeheimnisse zu verlieren, da tragbare Geräte leicht<br />
vergessen oder gestohlen werden können.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
12<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
3. Technische <strong>und</strong> organisatorische Schutzmassnahmen<br />
4<br />
Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen<br />
(vgl. Anhang A) können jedoch die Risiken im Zus<strong>am</strong>menhang<br />
mit der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Nutzung reduzieren.<br />
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber<br />
frühzeitig mögliche Gefahren für die Sicherheit <strong>und</strong> Funktionstüchtigkeit<br />
des elektronischen Systems verhindern. Die präventive Wirkung<br />
dieser Massnahmen soll den Einsatz repressiver Mittel wie die <strong>Überwachung</strong><br />
(vgl. Kap. 8) weitgehend ersetzen. Zu den wichtigsten technischen<br />
Schutzmassnahmen gehören Passwort- <strong>und</strong> Zugriffsschutz, Antivirus-<br />
<strong>und</strong> Diskquot<strong>am</strong>anagers, Backups <strong>und</strong> Firewalls. Zusätzlich sollen<br />
die Surf- <strong>und</strong> <strong>Mail</strong>progr<strong>am</strong>me nach dem letzten Stand der Technik 5 installiert<br />
<strong>und</strong> in einer sicherheitsmässigen Form konfiguriert <strong>und</strong> regelmässig<br />
aktualisiert werden. 6<br />
Das Passwort dient der Authentifizierung des Benutzers. Als solches<br />
darf es nicht Dritten <strong>über</strong>tragen werden, muss eine genügende Komplexität<br />
aufweisen <strong>und</strong> regelmässig geändert werden. Der Passwortschutz<br />
wird nach Ablauf einer bestimmten, beschränkten Dauer (z. B. fünf Minuten)<br />
durch den Bildschirmschoner aktiviert, um eine Reauthentifizierung<br />
zu provozieren. In Anbetracht der Vielzahl Passwörter, welche von<br />
einem einzigen Benutzer memorisiert werden müssen, ist die Benutzung<br />
einer verschlüsselten Passwortdatenbank statt einer Passwortliste<br />
in Papierform zu empfehlen. Solche Softwarelösungen sind heutzutage<br />
geläufig. Das Passwort zum Einstieg in die Passwortdatenbank muss<br />
durch den Benutzer memorisiert werden.<br />
Der Zugriffsschutz besteht in der benutzerspezifischen Vergabe von<br />
Berechtigungen (Lesen, Schreiben/Mutieren, Ausführen, Löschen) zu<br />
schützenswerten Daten oder Objekten. In der Praxis wird eine Matrix<br />
geschaffen, welche für jedes Datenobjekt <strong>und</strong> jede Benutzerrolle die<br />
entsprechenden Zugriffsberechtigungen definiert. Die Zugriffsrechte<br />
sind arbeitnehmerspezifisch <strong>und</strong> werden durch die dafür Verantwortlichen<br />
(in der Regel Vorgesetzte oder Te<strong>am</strong>chefs) vergeben. Die Zugriffsrechte<br />
werden dann durch den Systemadministrator oder einen anderen<br />
mit dieser Aufgabe beauftragten Arbeitnehmer im System implementiert.<br />
Für besonders schützenswerte Daten (Art. 3 lit. c Datenschutzgesetz,<br />
DSG, SR 235.1) ist <strong>über</strong>dies eine Verschlüsselung empfehlenswert.<br />
Diese dient dazu, die Vertraulichkeit <strong>und</strong> Integrität der Daten zu gewährleisten.<br />
Die symmetrische Kryptographie benutzt den gleichen<br />
Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsse-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
13<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
lung. Der Schlüssel setzt einen sicheren Austauschkanal voraus <strong>und</strong> gilt<br />
bei einer Mindestlänge von 128 bits heutzutage als sicher. Im Gegensatz<br />
dazu benutzt die asymmetrische Kryptographie einen öffentlichen<br />
(frei zugänglichen) Schlüssel für die Verschlüsselung <strong>und</strong> einen<br />
privaten (passwortgeschützten) Schlüssel für die Entschlüsselung der<br />
Daten. Überdies wird der private Schlüssel für die elektronische Unterschrift<br />
<strong>und</strong> der öffentliche Schlüssel für die Verifizierung der Integrität<br />
<strong>und</strong> Herkunft der Daten verwendet. Die asymmetrische Kryptographie<br />
setzt eine Public-Key Infrastruktur (PKI) zur Zertifizierung der öffentlichen<br />
Schlüssel voraus <strong>und</strong> gilt bei einer Mindestlänge der Schlüsselpaare<br />
von 1024 bits heutzutage als sicher.<br />
Das kryptographische Verfahren kann nur so sicher wie die Schlüssel<br />
selber sein. Werden die Schlüssel unsicher aufbewahrt, gilt das darauf<br />
basierende kryptographische Verfahren auch als unsicher.<br />
Die Verschlüsselung ist nicht nur für die Übertragung (SSL, WEP, usw.),<br />
sondern auch für die Speicherung der ausgetauschten Daten empfehlenswert.<br />
Der Austausch von verschlüsselt gespeicherten Daten setzt<br />
keinen verschlüsselten Übertragungskanal mehr voraus. Bei verschlüsselt<br />
gespeicherten Daten besteht aber das Risiko, dass sie nicht<br />
jederzeit entschlüsselt werden können (z. B. Passwort- <strong>und</strong>/oder<br />
Schlüsselverlust, Abwesenheit des Schlüsselinhabers).<br />
Deswegen ist das Bedürfnis eines zusätzlichen Entschlüsselungsschlüssels<br />
(Additional Decryption Key [ADK] <strong>und</strong> Corporate Message<br />
Recovery Key [CMRK]) abzuklären <strong>und</strong> allenfalls den Interessierten mitzuteilen.<br />
Die Datenverschlüsselung wird immer mehr als Ergänzung der gewöhnlichen<br />
Zugriffsberechtigungen angewendet. Unter diesen Umständen<br />
verfügen die Systemadministratoren nicht mehr unbedingt<br />
<strong>über</strong> alle Berechtigungen.<br />
Ohne Verschlüsselung entspricht die Vertraulichkeit eines E-<strong>Mail</strong>s derjenigen<br />
einer Postkarte.<br />
Antivirusprogr<strong>am</strong>me ermöglichen, Viren aufzuspüren <strong>und</strong> in der Regel<br />
auch zu entfernen. Sie müssen den aktuellen Virendatenbanken der<br />
neusten Softwareversion entsprechen <strong>und</strong> auf jedem <strong>Arbeitsplatz</strong> aktiv<br />
sein. Bei der Benutzung von internetbasierten E-<strong>Mail</strong>-Diensten muss<br />
das Antivirusprogr<strong>am</strong>m auf dem Computer des Arbeitnehmers installiert<br />
werden, da eine Überprüfung des E-<strong>Mail</strong>-Inhaltes erst beim Endbenutzer<br />
technisch möglich ist. Bei der Benutzung von internetbasierten<br />
E-<strong>Mail</strong>-Diensten wird die Gefahr der Virusinfektion nicht bedeutend<br />
grösser als bei der Benutzung des geschäftlichen E-<strong>Mail</strong>-Progr<strong>am</strong>mes.<br />
Lizenzierte, richtig installierte Antivirusprogr<strong>am</strong>me der letzten Genera-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
14<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
tion lassen sich oft via <strong>Internet</strong> automatisch aktualisieren. Wenn es<br />
technisch nicht möglich ist, einen Virus zu entfernen, gestattet die regelmässige<br />
Datensicherung auf Backups die Wiederherstellung virenfreier<br />
Dateien. Zu bemerken ist, dass Antivirusprogr<strong>am</strong>me per Definition<br />
keine absolute Sicherheit gegen<strong>über</strong> Angriffe anbieten. Deshalb sind<br />
auch weitere Schutzmassnahmen wie Spyware Blaster, Detector<br />
empfehlenswert.<br />
Diskquot<strong>am</strong>anagers sind Progr<strong>am</strong>me, welche im Betriebsystem installiert<br />
werden <strong>und</strong> die Speicherkapazität (Files <strong>und</strong> <strong>Mail</strong>boxes) jedes<br />
Benutzers begrenzen. Dies führt zu einer Selbstbeschränkung, da eine<br />
Erweiterung des Speicherraumes begründet werden muss. Durch Diskquotas<br />
werden unnötige Überlastungen der Speicherkapazität vermieden,<br />
womit eine Intervention des Arbeitgebers in diesen persönlichen<br />
Räumen nicht mehr notwendig ist. Im Gegensatz zu Diskquotas<br />
eignet sich die Sperrung von E- <strong>Mail</strong>s mit einer bestimmten Grösse als<br />
technische Schutzmassnahme kaum, da sie durch Aufteilen der betreffenden<br />
E-<strong>Mail</strong>-Anlagen leicht umgangen werden kann. Die Diskquotas<br />
sind arbeitnehmerspezifisch <strong>und</strong> werden durch die dafür Verantwortlichen<br />
(in der Regel Vorgesetzte oder Te<strong>am</strong>chefs) vergeben. Sie werden<br />
dann durch den Systemadministrator implementiert.<br />
Backups dienen der raschen <strong>und</strong> möglichst vollständigen Wiederherstellung<br />
verloren gegangener Daten. Die entsprechenden Datenträger<br />
müssen (brand-, wasser-, strahlungs-, diebstahls-) sicher <strong>und</strong> während<br />
einer bestimmten, zum Voraus festgelegten Dauer aufbewahrt werden.<br />
Backups stellen eine Protokollierung dar <strong>und</strong> sollten somit nur mit Vorsicht<br />
ausgewertet werden.<br />
Backups des E-<strong>Mail</strong>-Servers sind nicht empfehlenswert, da dadurch<br />
auch private E-<strong>Mail</strong>s tangiert werden können. Deshalb sind private E-<br />
<strong>Mail</strong>s auf einem anderen Datenträger zu speichern, d<strong>am</strong>it Backups problemlos<br />
vorgenommen werden können.<br />
Firewalls schützen die eigenen Daten vor externen Angriffen 7 <strong>und</strong> verhindern,<br />
dass Netzwerkbandbreite <strong>und</strong> Arbeitszeit <strong>über</strong>mässig beansprucht<br />
werden. Sie werden meist auf Netzebene zwischen <strong>Internet</strong>, Intranet<br />
<strong>und</strong> gegebenenfalls einer „demilitarisierten“ Zone (DMZ, wo sich<br />
die firmeninternen <strong>Internet</strong>server befinden) eingesetzt <strong>und</strong> filtern den<br />
Datenverkehr in beide Richtungen nach USERID, IP-Adresse oder Applikationsprotokolle<br />
8 . Die Konfiguration des Firewalls ist komplex, setzt<br />
spezifische Kenntnisse voraus <strong>und</strong> darf nur durch Fachleute durchgeführt<br />
werden. Die Firewall kann mit einer sogenannten Sperrliste erweitert<br />
werden. Diese enthält unerwünschte, vom Hersteller oder vom Arbeitgeber<br />
definierte URLs. Eine andere Möglichkeit besteht in einer Positivliste,<br />
die lediglich diejenigen <strong>Internet</strong>-Adressen elektronisch freigibt,
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
15<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
die notwendig sind, um die Aufgaben für die Firma zu erfüllen.<br />
Als Ergänzung zu den genannten Hardware-Firewalls werden heute<br />
auch bei den einzelnen Arbeitsstationen sogenannte Personal Firewalls<br />
in Softwareform installiert. Da diese technischen Schutzmassnahmen<br />
eine absolute Sicherheit nicht gewährleisten können, werden oft<br />
sogenannte Intrusion Detection Systems (IDS) sowohl auf Netz- als<br />
auch auf Server-, gegebenenfalls auf Client-Ebene eingesetzt. Der Einsatz<br />
eines solchen Systems unterstützt die Aufdeckung von Missbräuchen<br />
oder Attacken. Der Einsatz von wissensbasierten IDS ist jedoch<br />
ein Zeichen der erkannten Unwirks<strong>am</strong>keit der getroffenen Sicherheitsmassnahmen.<br />
Für das Herunterladen von Dateien durch FTP, HTTP oder E-<strong>Mail</strong>-Anhänge<br />
kann sich die Sperrung auch auf bestimme Dateiformate (.EXE, .MP3,<br />
.BAT, usw.) beziehen. Die Wirks<strong>am</strong>keit solcher Sperrungen muss jedoch<br />
relativiert werden, da gewisse Formate, wie z. B. die komprimierte Archivdatei<br />
.ZIP, in der Regel selber nicht gesperrt sind, aber gesperrte<br />
Dateiformate enthalten können.<br />
Der Einsatz eines Modems bei einer laufenden Arbeitsstation kann die<br />
ganze Firewallsicherheit umgehen, indem sich ein Fremdbenutzer ins<br />
Firmennetz unbefugterweise <strong>und</strong> unbemerkt einschleust. Ohne genügende<br />
Schutzmassnahmen kann die Firewallsicherheit heutzutage<br />
auch durch Einsatz drahtloser Verteiler (Wireless Access Points) umgangen<br />
werden. Es empfiehlt sich demzufolge, die Daten<strong>über</strong>mittlung<br />
mittels WEP-Protokoll (Wired Equivalent Privacy) oder WPA-Protokoll<br />
(Wi-Fi Protected Access) zu verschlüsseln.<br />
Durch den Einsatz angemessener technischer Schutzmassnahmen<br />
sollten nur selten konkrete technische Störungen vorkommen.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
16<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
4. Beim Surfen hinterlassene Spuren<br />
Die meisten modernen, gemeins<strong>am</strong> benutzten Informatikmittel (z. B.<br />
Server, Datenbanken oder Drucker) führen ein Logbuch (Protokollierungen)<br />
<strong>über</strong> die wichtigsten durchgeführten Aktivitäten durch (vgl. Anhang<br />
A).<br />
Die Spuren, die bei der Benutzung netzbasierter Anwendungen hinterlassen<br />
werden, bestehen in der Regel lediglich aus Randdaten wie<br />
„wann hat wer was getan“ <strong>und</strong> eher selten aus reinen Inhaltsdaten.<br />
Unter Protokollierung versteht man eine fortlaufende Aufzeichnung<br />
dieser Daten. Ob Protokollierungen eingesetzt werden dürfen, wer <strong>und</strong><br />
wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck- <strong>und</strong><br />
Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte<br />
Protokollierung, deren Zweck, Inhalt <strong>und</strong> Aufbewahrungsdauer<br />
sollte aus Transparenzgründen im internen <strong>Überwachung</strong>sreglement<br />
erwähnt werden. Wenn präventive Massnahmen den Schutz sensibler<br />
Personendaten nicht gewährleisten, können Protokollierungen notwendig<br />
sein (Art. 10 Verordnung zum Datenschutzgesetz, VDSG, SR<br />
235.11).<br />
Weiter ist zu bemerken, dass Protokollierungen bedarfsspezifisch konfiguriert<br />
werden können. Typischerweise werden die Protokollierungen<br />
vom Systemadministrator auf eine niedrige Stufe konfiguriert, um die<br />
Menge der protokollierten Daten einzudämmen. Erst wenn detailliertere<br />
Informationen nötig sind (z. B. im Falle einer Systemstörung), wird die<br />
Konfigurationsstufe für die entsprechende, zeitlich beschränkte Periode<br />
erhöht. Da Protokollierungen beträchtliche Grössen annehmen, können<br />
sie kaum ohne automatisierte Verfahren ausgewertet werden (vgl.<br />
Kapitel 8.3.2).<br />
Da die Protokolle in der Regel schnell sehr gross werden, ist es empfehlenswert,<br />
automatische Auswertungstools mit anonymisiertem Ergebnis<br />
vorzusehen. Dar<strong>über</strong> hinaus sind personenbezogene Protokollierungen<br />
als Datens<strong>am</strong>mlungen gemäss Art. 11 DSG beim Eidg. Datenschutzbeauftragten<br />
anzumelden. Private Personen oder Firmen müssen<br />
die Protokollierungen nur anmelden, wenn für das Bearbeiten keine<br />
gesetzliche Pflicht besteht <strong>und</strong> die betroffenen Personen davon keine<br />
Kenntnis haben. Die Aufbewahrungsdauer der Protokollierungen steht<br />
in direktem Zus<strong>am</strong>menhang mit ihrem Zweck <strong>und</strong> muss im Nutzungs<strong>und</strong><br />
<strong>Überwachung</strong>sreglement transparent mitgeteilt werden. Dem Arbeitgeber<br />
obliegt keine gesetzliche Aufbewahrungspflicht im Zus<strong>am</strong>menhang<br />
mit Protokollierungen. Im Rahmen von Sanktionsverfahren<br />
oder Strafverfolgungen dürfen sie bis zu deren Beendigung aufbewahrt
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
17<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
werden. Sonst sind Protokollierungen in der Regel nach Ablauf von vier<br />
Wochen zu vernichten.<br />
Die für die <strong>Überwachung</strong> des Arbeitnehmers relevanten Protokollierungen<br />
können hauptsächlich an vier verschiedenen Stellen stattfinden:<br />
Auf dem Computer des Benutzers, auf Intranet-Servern, auf Netzkopplungselementen<br />
<strong>und</strong> auf DMZ-Servern (vgl. Anhang A).<br />
Die bei <strong>Internet</strong>-Dienstanbietern bestehenden Protokollierungen können<br />
im Falle einer Straftat <strong>und</strong> unter richterlicher Entscheidung untersucht<br />
werden. Überdies kann eine Inhaltsaufnahme angeordnet werden.<br />
Auf dem Computer des Benutzers können durch den unzulässigen Einsatz<br />
von sogenannten Spionprogr<strong>am</strong>men 9 (vgl. Kapitel 6) sämtliche Aktivitäten<br />
festgehalten werden. <strong>Überwachung</strong>sprogr<strong>am</strong>me werden in<br />
der Regel ohne Information der betroffenen Personen eingesetzt <strong>und</strong><br />
ermöglichen eine permanente <strong>und</strong> detaillierte <strong>Überwachung</strong> sämtlicher<br />
Aktivitäten des Arbeitnehmers an seinem elektronischen <strong>Arbeitsplatz</strong>.<br />
Insbesondere gestatten sie die Einsicht in E-<strong>Mail</strong>s, indem diese<br />
registriert <strong>und</strong> dann an eine Drittadresse weitergeleitet werden. Auch<br />
das „Fotographieren“ bzw. „Kopieren“ des Bildschirms in regelmässigen<br />
Zeitabständen (recurrent screenshots) mit seinem ges<strong>am</strong>ten Inhalt<br />
(z. B. <strong>Internet</strong>seiten) gehört zu den Fähigkeiten von Spionprogr<strong>am</strong>men.<br />
Das Erfassen sämtlicher Tastenschläge (z. B. durch Einsatz eines Hardware<br />
Keylogger), das Erlangen von Passwörtern, die Ansicht sämtlicher<br />
aktiver Anwendungen, der Zugriff auf die Festplatte des PC, das Abhören<br />
von abgespielten Audiodateien <strong>am</strong> PC, usw. sind weitere Fertigkeiten<br />
solcher Progr<strong>am</strong>me. <strong>Überwachung</strong>sprogr<strong>am</strong>me ermöglichen auch<br />
die Speicherung der erlangten Aufnahmen <strong>und</strong> Informationen. Eine<br />
weitere Bearbeitung dieser Daten, z. B. in Form einer Datenbekanntgabe<br />
an Dritte, ist möglich.<br />
Die beim Surfen abgerufenen oder heruntergeladenen Informationen<br />
werden meist nur temporär auf der lokalen Festplatte gespeichert. Diese<br />
temporäre Speicherung (Cache) wird aber nicht vom Benutzer, sondern<br />
von der Anwendung aus Leistungsgründen ausgelöst. Sowohl diese<br />
temporäre Dateien als auch permanente Randdaten wie „Cookies“,<br />
Verlauf <strong>und</strong> Autovervollständigungsdaten können vom Benutzer gesperrt<br />
oder gelöscht werden, um einen persönlichen Beitrag zum<br />
Schutz der Speicherkapazität <strong>und</strong> teilweise der eigenen Privatsphäre<br />
zu leisten. Ideal ist, wenn die temporären Dateien (Temp File) beim<br />
Schliessen des Browsers oder beim Ausschalten des Computers automatisch<br />
gelöscht werden.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
18<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Auf Intranet-Servern wie Domäne-Servern besteht die Protokollierung<br />
aus Benutzern<strong>am</strong>en (wer), Datumsangaben (wann), Gegenständen<br />
<strong>und</strong> Handlungen wie Ein- <strong>und</strong> Ausloggen, Ausdrucken von Dateien,<br />
dyn<strong>am</strong>ische IP-Adressenvergabe, DNS-Adressenauflösung (Domain<br />
N<strong>am</strong>e System) <strong>und</strong> Applikationsaufruf (was). Die IP-Adressen der Benutzercomputern<br />
können entweder statisch/endgültig von einem Netzwerkadministrator<br />
oder dyn<strong>am</strong>isch/vorläufig von einem Netzwerkdienstserver<br />
vergeben werden. Im letzteren Fall befindet sich eine chronologische<br />
Korrespondenzliste zwischen vergebener IP-Adresse <strong>und</strong><br />
eingelogtem Arbeitnehmer nur im Protokoll des DHCP-Servers (Dyn<strong>am</strong>ic<br />
Host Configuration Protocol). Missbräuchliche Aktivitäten können<br />
aber unter dem N<strong>am</strong>en/Account eines unschuldigen Arbeitnehmers<br />
von bösartigen Kollegen ausgeführt worden sein. Für solche Fälle ist in<br />
erster Linie der Arbeitnehmer für den eigenen Account verantwortlich<br />
(rasche Einschaltung des Bildschirmschoners <strong>und</strong> Reauthentifizierung).<br />
Abgerufene <strong>Internet</strong>-Seiten <strong>und</strong> heruntergeladene Dateien können Gegenstand<br />
der von einem Proxy-Server verwalteten Zwischenspeicherung<br />
sein <strong>und</strong> stellen somit einen beobachtbaren Schnappschuss der<br />
letzterfolgten Surfaktivitäten dar. Jeder weitere Zugriff auf einer dieser<br />
Dateien durch andere Arbeitnehmer erfolgt direkt beim Proxy-Server.<br />
Somit erübrigt sich ein neuer Zugriff auf das <strong>Internet</strong> <strong>und</strong> die Netzbandbreite<br />
bleibt gespart. Dadurch könnte man aber die Nachvollziehbarkeit<br />
gewisser Surfaktivitäten verlieren, obschon der Proxy-Server seine eigenen<br />
Aktivitäten (Cache- <strong>und</strong> Filterfunktion) gänzlich protokollieren kann.<br />
Dabei ist zu beachten, dass eine URL ein Randdatum ist, dessen Inhalt in<br />
der Regel nachträglich wieder abrufbar <strong>und</strong> darstellbar ist.<br />
Auf Netzkopplungselementen wie Firewall oder Router werden in<br />
Prinzip eine Zeitangabe, die Quell- <strong>und</strong> Ziel-IP-Adressen, das verwendete<br />
Applikationsprotokoll wenn nicht sogar die abgerufene Seite <strong>und</strong> den<br />
Benutzern<strong>am</strong>en protokolliert. Zu den Quelladressen muss man noch<br />
daran denken, dass eine NAT-Funktion (Network Address Translation)<br />
optional einsetzbar ist. Die intern verwendeten IP-Adressen werden dyn<strong>am</strong>isch<br />
in extern bekannte aber unschädliche Adressen umgewandelt,<br />
um sich vor externen Attacken zu schützen. Die Interpretation der<br />
Protokolle kann infolgedessen verkompliziert werden.<br />
Auf Netzwerkebene können sogenannte Sniffer-/Scannergeräte von einem<br />
Administrator eingesetzt werden, um eine detaillierte Abhörung<br />
der <strong>über</strong>tragenen Datenpakete (Rand- <strong>und</strong> Inhaltsdaten) zu erstellen.<br />
Eine solche Abhörung ist erst problematisch, wenn sie von einem unbefugten<br />
Benutzer (Hacker) ausgeführt wird. In jedem Fall sollten kritische
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
19<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Daten wie Passwörter nur in chiffrierter Form <strong>über</strong>tragen werden. Ausserdem<br />
können sogenannte (server- oder) netzbasierte Intrusion Detection<br />
Systeme (IDS) installiert werden, um vom Firewall unerkannte<br />
Attacken nachträglich abfangen zu können.<br />
Eine „demilitarizierte“ Zone (DMZ) zwischen Intranet <strong>und</strong> <strong>Internet</strong><br />
wird oft von Firewalls unterstützt, um von beiden Welten zugreifbare<br />
Server beherbergen zu können. Es geht vor allem um die Email-, File<strong>und</strong><br />
Webserver (bzw. Protokolle SMTP, FTP <strong>und</strong> HTTP).<br />
Auf den E-<strong>Mail</strong>-Servern werden u. A. Zeitangabe, Absender- <strong>und</strong> Empfängeradresse,<br />
Betrefftext, Priorität <strong>und</strong> Vertraulichkeit der Nachrichten<br />
protokolliert. Es kann aber nicht ausgeschlossen werden, dass weitere<br />
Informationen protokolliert werden (z. B. Anzahl Attachments, Grösse<br />
des E-<strong>Mail</strong>s, digitale Signatur, ev. auch IP-Adresse). E-<strong>Mail</strong>-Inhalte werden<br />
gr<strong>und</strong>sätzlich nicht protokolliert.<br />
Die Protokollierungseinträge sind in der Regel direkt oder indirekt<br />
(durch Verknüpfung mit der Korrespondenzliste) mit einer bestimmten<br />
Person verkettbar. Im Falle dass eine Protokollierung bekannt gegeben<br />
werden muss, ist sie mit grosser Wahrscheinlichkeit zu pseudonymisieren<br />
oder sogar repseudonymisieren (wenn die Daten nicht genug robust<br />
pseudonymisiert waren).
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
20<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
5. Das Nutzungsreglement <strong>über</strong> privates Surfen<br />
<strong>und</strong> <strong>Mail</strong>en<br />
Ob Arbeitnehmer das Recht haben, privat <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong> zu nutzen,<br />
hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen<br />
Bereichen des Arbeitsverhältnisses, hat er ein Weisungsrecht<br />
(Art. 321d Obligationenrecht, OR, SR 220). Wichtig ist, dass der Arbeitgeber<br />
die effektiven beruflichen Bedürfnisse seiner Arbeitnehmer differenziert<br />
<strong>über</strong>prüft, bevor er ihnen den <strong>Internet</strong>zugriff gewährt. Durch<br />
spezifische Schulung sollen die Arbeitnehmer auf die Sicherheitsgefahren<br />
bei der Benutzung netzbasierter Anwendungen sensibilisiert werden.<br />
Für den Arbeitgeber ist es rats<strong>am</strong>, eine schriftliche Weisung <strong>über</strong> die<br />
Nutzung netzbasierter Anwendungen zu erlassen, obschon dies nicht<br />
obligatorisch ist. Ein solches Nutzungsreglement (vgl. Anhang C) schafft<br />
Transparenz <strong>und</strong> Rechtssicherheit in den Beziehungen zwischen Arbeitgeber<br />
<strong>und</strong> Arbeitnehmer. Jeder Arbeitnehmer sollte daher <strong>am</strong> besten<br />
schriftlich <strong>über</strong> die Regelung informiert werden. Ein nur mündlich kommuniziertes<br />
Nutzungsreglement ist zwar ebenfalls verbindlich, kann<br />
aber im Streitfall zu Nachweisschwierigkeiten führen. Deshalb ist allen<br />
Arbeitnehmern ein schriftliches Exemplar auszuhändigen, dessen Empfang<br />
sie quittieren. Das Nutzungsreglement ist regelmässig zu <strong>über</strong>prüfen<br />
<strong>und</strong> wenn nötig anzupassen. Anpassungen sind insbesondere nötig,<br />
wenn Missbräuche festgestellt werden, die Arbeitsbedürfnisse ändern<br />
oder relevante technische Neuerungen entstehen.<br />
Die private Benutzung der netzbasierten Anwendungen wird je nach<br />
Nutzungsreglement entweder zugelassen, eingeschränkt oder ganz<br />
verboten.<br />
Eine Einschränkung kann auf unterschiedliche Weise erfolgen. Die zeitliche<br />
Begrenzung privater Surftouren, z. B. 15 Minuten pro Tag, ist aus<br />
zwei Gründen nicht wirkungsvoll: Einerseits wird der Zeitpunkt, wann<br />
eine <strong>Internet</strong>-Seite verlassen wird, in der Regel aus technischen Gründen<br />
10 nicht protokolliert. Anderseits würde eine Protokollierung der Benutzungsdauer<br />
kaum zuverlässige Rückschlüsse auf die effektive zeitliche<br />
Beanspruchung ermöglichen, da die abgerufene <strong>Internet</strong>-Seite hinter<br />
einer anderen Applikation (z. B. dem Textverarbeitungsprogr<strong>am</strong>m)<br />
offen bleiben kann, ohne dass sie jedoch tatsächlich benutzt wird. Erst<br />
die Protokollierung einer Reihe aufeinanderfolgender <strong>Internet</strong>-Zugriffe<br />
vom selben Computer aus innerhalb einer bestimmten Zeitspanne<br />
könnte Rückschlüsse auf die tatsächliche Benutzungsdauer ermöglichen,<br />
wenn die einzelnen Zugriffe in kurzen Zeitabständen voneinander
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
21<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
erfolgt sind. Eine absolut richtige Aussage <strong>über</strong> die Dauer der Benutzung<br />
netzbasierter Anwendungen lässt sich aber auch in solchen Fällen<br />
nicht machen, da gewisse <strong>Internet</strong>-Seiten kontinuierlich <strong>und</strong> automatisch<br />
aktualisiert werden (z. B. Newstickers bei Zeitungen oder Börsenmeldungen).<br />
Eine Einschränkung kann erfolgen durch Sperrung unerwünschter <strong>Internet</strong>angebote<br />
(Börse, elektronische Stellenanzeiger, E-Commerce-<br />
Seiten, pornographische oder rassistische Texte oder Bilder, usw.),<br />
durch Festsetzung einer bestimmten, beanspruchbaren Speicherkapazität<br />
des Servers (vgl. Kapitel 3) oder eines Zeitpunktes, ab welchem<br />
eine private Benutzung erlaubt ist (z. B. ab 18 Uhr). Möglich ist auch die<br />
Vergabe von unterschiedlichen Bandbreiten je nach Arbeitsrelevanz<br />
der abgerufenen <strong>Internet</strong>-Seiten.<br />
Die Einschränkung oder das Verbot der privaten Benutzung netzbasierter<br />
Anwendungen kann auch durch Umschreibung der zugelassenen<br />
<strong>Internet</strong>angebote erfolgen, mit einer Positivliste, die z. B. nur die Informationsbeschaffung<br />
auf <strong>Internet</strong>-Seiten offizieller Behörden erlaubt<br />
(vgl. Kapitel 3). Im Allgemeinen ist eine Surftour zulässig, wenn sie beruflichen<br />
Zwecken dient.<br />
Falls die <strong>Internet</strong>nutzung eingeschränkt ist, könnte es eine Lösung sein,<br />
wenn der Arbeitgeber – ähnlich wie beim Telefon – ein frei zugängliches<br />
<strong>Internet</strong>-Terminal zur Verfügung stellt. Die entsprechende Protokollierung<br />
darf durch den Arbeitgeber nicht eingesehen werden, wird aber<br />
aus Beweissicherungsgründen (z. B. für ein offizielles Ermittlungsverfahren)<br />
erstellt. Aus Sicherheitsgründen (vgl. Kapitel 2) empfiehlt es<br />
sich, dieses Terminal vom übrigen Firmennetz getrennt zu betreiben.<br />
Die interessierten Arbeitnehmer tragen die vollständige Verantwortung<br />
für die Sicherheit <strong>und</strong> die gesetzeskonforme Benutzung des Terminals.<br />
Wenn kein Nutzungsreglement erlassen wird, besteht Unklarheit <strong>über</strong><br />
die Befugnis zur privaten <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Nutzung. Gewisse Kreise<br />
vertreten die Auffassung, dass das Verbot privaten Telefonierens auf die<br />
private <strong>Internet</strong>nutzung analog anwendbar sei. Die Interessen <strong>und</strong> Mittel<br />
des Arbeitgebers müssen jedenfalls gewährleistet bleiben. Letzteres<br />
hängt mit der Sorgfalts- <strong>und</strong> Treuepflicht (Art. 321a OR) zus<strong>am</strong>men, die<br />
den Arbeitnehmer verpflichtet, die Interessen des Arbeitgebers zu wahren.<br />
Was dies im Zus<strong>am</strong>menhang mit der <strong>Internet</strong>nutzung bedeutet,<br />
hängt von den konkreten Umständen im Einzelfall ab. Die Gefahr besteht,<br />
dass der Arbeitgeber falsch beurteilt, ob eine Surftour zulässig<br />
ist.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
22<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Aus diesen Gründen ist es empfehlenswert, ein schriftliches Nutzungsreglement<br />
zu erlassen. Je konkreter <strong>und</strong> klarer dieses ist, desto unmissverständlicher<br />
sind die Grenzen der erlaubten privaten <strong>Internet</strong>nutzung<br />
<strong>am</strong> <strong>Arbeitsplatz</strong>.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
23<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
6. Gesetzliche Gr<strong>und</strong>lagen der <strong>Überwachung</strong><br />
Die Gefahr der dauerhaften Verhaltens<strong>über</strong>wachung der Arbeitnehmer<br />
<strong>am</strong> <strong>Arbeitsplatz</strong> war 1984 Auslöser einer parl<strong>am</strong>entarischen Motion 11<br />
<strong>über</strong> den Persönlichkeitsschutz von Arbeitnehmern. Infolge dieser Motion<br />
erliess der B<strong>und</strong>esrat eine Verordnung, welche die gezielte Verhaltens<strong>über</strong>wachung<br />
<strong>am</strong> <strong>Arbeitsplatz</strong> verbietet (Art. 26 Abs. 1 Verordnung<br />
3 zum Arbeitsgesetz, ArGV 3, SR 822.113). Sind <strong>Überwachung</strong>s- <strong>und</strong><br />
Kontrollsysteme aus anderen Gründen erforderlich, müssen sie so gestaltet<br />
<strong>und</strong> angeordnet sein, dass sie die Ges<strong>und</strong>heit <strong>und</strong> die Bewegungsfreiheit<br />
der Arbeitnehmer nicht beeinträchtigen (Art. 26 Abs. 2<br />
ArGV 3). Geschützt werden soll in erster Linie die Ges<strong>und</strong>heit <strong>und</strong> die<br />
Persönlichkeit der Arbeitnehmer vor ständiger, gezielter Verhaltens<strong>über</strong>wachung<br />
durch Einsatz eines <strong>Überwachung</strong>ssystems. 12 Die Verhaltens<strong>über</strong>wachung<br />
ohne <strong>Überwachung</strong>ssystem fällt nicht in den Anwendungsbereich<br />
von Art. 26 ArGV 3.<br />
Im Zus<strong>am</strong>menhang mit dem Surfen <strong>und</strong> der Nutzung von E-<strong>Mail</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
bedeutet dies, dass <strong>Überwachung</strong>en der <strong>Internet</strong>- <strong>und</strong> E-<br />
<strong>Mail</strong>-Nutzung durch ständige, personenbezogene Auswertungen der<br />
Protokollierungen nicht zulässig sind. Aus diesem Gr<strong>und</strong> dürfen auch<br />
Spionprogr<strong>am</strong>me (vgl. Kapitel 4) nicht eingesetzt werden. Bei den Spionprogr<strong>am</strong>men<br />
handelt es sich um ein leistungsstarkes System zur<br />
heimlichen <strong>Überwachung</strong> des Verhaltens von Arbeitnehmern <strong>am</strong> <strong>Arbeitsplatz</strong>.<br />
Ihr Einsatz stellt sowohl eine Verletzung des Verhaltens<strong>über</strong>wachungsverbotes<br />
als auch des Gr<strong>und</strong>satzes von Treu <strong>und</strong> Glaube dar.<br />
Das Aufnehmen, Beobachten, Analysieren, Speichern <strong>und</strong> Weiterbearbeiten<br />
von Informationen <strong>und</strong> Aktivitäten aller Art <strong>am</strong> PC ohne Einwilligung<br />
der betroffenen Person ergründet ausserdem u. E. eine Verletzung<br />
des Geheim- oder Privatbereiches durch Aufnahmegeräte im Sinne<br />
des Strafgesetzbuches. Dadurch, dass er mit <strong>Überwachung</strong>s- <strong>und</strong><br />
Aufnahmefunktionen dotiert wird, wird der PC zum Aufnahmegerät. Die<br />
Privatsphäre <strong>am</strong> <strong>Arbeitsplatz</strong> wird sowohl arbeitsrechtlich als auch<br />
durch das verfassungsmässige Fernmeldegeheimnis (BGE 126 I 50) geschützt.<br />
Aufgr<strong>und</strong> der vielfältigen Funktionen <strong>und</strong> Progr<strong>am</strong>mierungsmöglichkeiten<br />
der <strong>Überwachung</strong>sprogr<strong>am</strong>me kann der Eingriff in die<br />
Persönlichkeit des Arbeitnehmers u. U. noch tiefgreifender sein als<br />
durch den Einsatz einer Videok<strong>am</strong>era.<br />
Ein Beispiel von Spionprogr<strong>am</strong>men stellen sogenannte Content Scanners<br />
dar. Ein Content Scanner ist eine Software, welche die gesendeten<br />
<strong>und</strong>/oder empfangenen E-<strong>Mail</strong>s nach bestimmten vordefinierten Stichwörter<br />
auswertet <strong>und</strong> entsprechend reagiert (z. B. Sperrung, Löschung,
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
24<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Kopie an Systemadministrator oder gar an Vorgesetzten). Beim Content<br />
Scanner ist die Gefahr der Persönlichkeitsverletzung durch systematische<br />
Verhaltens<strong>über</strong>wachung offensichtlich. Die Wirks<strong>am</strong>keit solcher<br />
stichwortbasierten Filtrierungen ist ausserdem bestreitbar, da sie entweder<br />
zuviel oder zuwenig abwehren. Die absolute Inhaltssicherheit ist<br />
auf jeden Fall illusorisch, da z. B. die vermehrt angepriesenen verschlüsselten<br />
E-<strong>Mail</strong>s nicht analysierbar sind. Hinzu kommt, dass E-<strong>Mail</strong>s, die<br />
als privat gekennzeichnet sind, in keinem Fall inhaltlich ausgewertet<br />
werden dürfen.<br />
Das B<strong>und</strong>esgericht hat <strong>über</strong> elektronische <strong>Überwachung</strong>ssoftware<br />
noch kein Urteil gefällt.<br />
Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen<br />
sowie stichprobenartige pseudonymisierte Auswertungen<br />
der Protokollierungen, um zu <strong>über</strong>prüfen, ob das Nutzungsreglement<br />
eingehalten wird (vgl. Kapitel 8.4.1.1). Solche Auswertungen dienen<br />
dazu, Beweise zu erheben, um Missbräuche sanktionieren zu können,<br />
die durch die technischen Schutzmassnahmen nicht verhindert werden<br />
konnten (z. B. Zugriffe auf <strong>Internet</strong>seiten, die nicht auf die Sperrliste der<br />
Firewall figurieren).<br />
Wenn ein Missbrauch festgestellt wird – <strong>und</strong> die Belegschaft vorher in<br />
einem <strong>Überwachung</strong>sreglement (vgl. Kapitel 7.1) informiert wurde –<br />
kann dies zu einer n<strong>am</strong>entlichen Auswertung der Protokollierungen<br />
führen.<br />
Das Verbot der Verhaltens<strong>über</strong>wachung gemäss Art. 26 ArGV3 gilt also<br />
nicht absolut. Es geht vielmehr darum, den Persönlichkeitsschutz der<br />
Arbeitnehmer <strong>und</strong> die Interessen des Arbeitgebers (vgl. Kapitel 2)<br />
gegeneinander abzuwägen. In Einzelfällen, wenn Missbräuche festgestellt<br />
werden <strong>und</strong> die entsprechende vorherige Information (<strong>Überwachung</strong>sreglement)<br />
besteht, dürfen personenbezogene Verhaltens<strong>über</strong>wachungen<br />
vorgenommen werden. Werden keine Missbräuche festgestellt,<br />
müssen sowohl die Gewährleistung der Sicherheit als auch die<br />
<strong>Überwachung</strong> der Einhaltung des Nutzungsreglements anonym oder<br />
pseudonym bleiben. 13<br />
Neben Art. 26 ArGV 3 schützen auch das Datenschutzgesetz sowie Art.<br />
328 <strong>und</strong> 328b OR die Persönlichkeit des Arbeitnehmers. Diese Bestimmungen<br />
sehen auch vor, dass der Arbeitgeber Personendaten nur unter<br />
Einhaltung des Zweckbindungs- <strong>und</strong> Verhältnismässigkeitsprinzips<br />
bearbeiten darf.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
25<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Viele Arbeitgeber stellen ihren Arbeitnehmern tragbare Arbeitsinstrumente<br />
zur Verfügung. Diese sind auch von der <strong>Überwachung</strong> betroffen,<br />
was ein besonderes Problem darstellt, da diese Geräte oft auch privat<br />
benutzt werden.<br />
Der Arbeitnehmer darf vom Arbeitgeber jederzeit Auskunft dar<strong>über</strong> verlangen,<br />
ob Daten <strong>über</strong> ihn bearbeitet werden (Art. 8 Abs. 1 DSG, vgl.<br />
Kapitel 8.1.2). Dies kann sogar eine <strong>über</strong>wachungshemmende Wirkung<br />
auf den Arbeitgeber haben.<br />
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen<br />
oder einen anderen Rechtfertigungsgr<strong>und</strong> an unberechtigte Dritte<br />
bekannt gegeben werden (Art. 12 <strong>und</strong> 13 DSG). Die Arbeitskollegen der<br />
betroffenen Person gelten in Bezug auf den Datenschutz als Dritte.<br />
Sowohl die Informatikdienste bzw. die Sicherheitsbeauftragten als auch<br />
die Vorgesetzten <strong>und</strong> Personaldienste haben die Personendaten<br />
(hauptsächlich die Protokollierungen <strong>und</strong> deren Auswertungen), die sie<br />
im Zus<strong>am</strong>menhang mit einer <strong>Überwachung</strong> bearbeiten, durch angemessene<br />
technische Schutzmassnahmen gegen unbefugte Zugriffe zu<br />
schützen (Art. 7 Abs. 1 DSG). 14 Sie sorgen insbesondere für die Vertraulichkeit,<br />
die Verfügbarkeit <strong>und</strong> die Integrität der Personendaten (Art. 8<br />
Abs. 1 der Verordnung zum DSG, VDSG, SR 235.11).
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
26<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
7. Die wichtigsten rechtlichen Voraussetzungen<br />
für die <strong>Überwachung</strong> des Surfens <strong>und</strong><br />
der E-<strong>Mail</strong>-Nutzung<br />
Um eine personenbezogene <strong>Überwachung</strong> einleiten zu dürfen, muss<br />
der Arbeitgeber die Belegschaft vorher informieren <strong>und</strong> einen Missbrauch<br />
festgestellt haben oder es muss ein Missbrauchsverdacht entstanden<br />
sein. Im Detail gelten folgende Regeln.<br />
7.1 Die vorherige Information<br />
Anders als beim Nutzungsreglement, das nicht obligatorisch ist, hat der<br />
Arbeitgeber die Pflicht, ein <strong>Überwachung</strong>sreglement zu erlassen, da die<br />
<strong>Überwachung</strong> einen Eingriff in die Privatsphäre des Arbeitnehmers darstellen<br />
kann (Prinzip von Treu <strong>und</strong> Glauben, Art. 4 Abs. 2 DSG). Ein solcher<br />
Eingriff ist dann gegeben, wenn Protokollierungen privater Surftouren<br />
personenbezogen ausgewertet werden. Das <strong>Überwachung</strong>sreglement<br />
wird aus Gründen der Transparenz <strong>und</strong> Rechtssicherheit schriftlich<br />
<strong>und</strong> in der Regel zus<strong>am</strong>men mit dem Nutzungsreglement in einem<br />
einzigen Dokument verfasst (vgl. Musterreglement, Anhang C).<br />
Der Arbeitgeber muss im <strong>Überwachung</strong>sreglement dar<strong>über</strong> informieren,<br />
dass die Möglichkeit der personenbezogenen Auswertung der Protokollierungen<br />
besteht (vgl. Kapitel 8.2 <strong>und</strong> 8.3) <strong>und</strong> dass die Auswertungsresultate<br />
an den Personaldienst <strong>und</strong> an den Vorgesetzten weitergegeben<br />
werden, falls ein Missbrauch festgestellt wird. Sieht das <strong>Überwachung</strong>sreglement<br />
diese Information nicht vor, so muss dies<br />
nachgeholt werden, bevor Protokollierungen personenbezogen ausgewertet<br />
werden. Die Information hat demzufolge vor dem Missbrauch<br />
bzw. Missbrauchsverdacht <strong>und</strong> nicht lediglich vor der personenbezogenen<br />
Auswertung der Protokollierungen zu erfolgen. Ausnahmsweise,<br />
wenn ein schwerer Missbrauch vorliegt, kann die vorherige Information<br />
erst vor der personenbezogenen Auswertung der Protokollierungen erfolgen,<br />
falls sie früher nicht vorhanden war. In der Abwägung <strong>über</strong>wiegen<br />
in solchen Fällen die Interessen des Arbeitgebers an die Identifikation<br />
des fehlbaren Arbeitnehmers.<br />
Empfehlenswert ist auch dar<strong>über</strong> zu informieren, wer für die personenbezogene<br />
Auswertung der Protokollierungen zuständig ist, welche konkreten<br />
arbeitsrechtlichen Sanktionen ergriffen werden können <strong>und</strong> wie<br />
bei Verdacht auf eine Straftat vorgegangen wird. Rats<strong>am</strong> ist ferner die<br />
Information <strong>über</strong> die eingesetzten Protokollierungen, deren Zweck, Inhalt,<br />
Aufbewahrungsdauer <strong>und</strong> Auskunftsrecht.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
27<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Im Zus<strong>am</strong>menhang mit der E-<strong>Mail</strong>-Benutzung hat der Arbeitgeber auch<br />
die externen E-<strong>Mail</strong>-Empfänger <strong>und</strong> -Absender <strong>über</strong> das Vorliegen von<br />
<strong>Überwachung</strong>en bzw. von Stellvertretungen zu informieren. Dies könnte<br />
bspw. in den Fusszeilen zus<strong>am</strong>men mit der Vertraulichkeits- <strong>und</strong><br />
Amtlichkeitsklausel jedes ausgehenden E-<strong>Mail</strong>s erfolgen.<br />
Die Kenntnis, dass eine <strong>Überwachung</strong> möglich ist, kann eine abschreckende<br />
Wirkung auf das Surfverhalten der Arbeitnehmer haben.<br />
7.2 Die Feststellung eines Missbrauches<br />
Ein Missbrauch liegt vor, wenn das Nutzungsreglement verletzt worden<br />
ist. Missbräuchlich ist je nach Nutzungsreglement z. B. das Surfen auf<br />
Web-Seiten, die keine berufliche Relevanz aufweisen, oder das private<br />
Surfen tout court, wenn es ausdrücklich verboten wurde. Der wegen<br />
den ergriffenen technischen Schutzmassnahmen misslungene Versuch,<br />
auf gesperrte <strong>Internet</strong>seiten zuzugreifen, stellt hingegen keinen<br />
Missbrauch dar.<br />
Fehlt ein Nutzungsreglement, so können die Treuepflicht oder das<br />
Zweck- <strong>und</strong> Verhältnismässigkeitsprinzip trotzdem verletzt werden. Ist<br />
dies der Fall, dann spricht man auch von einem Missbrauch.<br />
Ein Missbrauch kann durch anonyme oder pseudonyme <strong>Überwachung</strong>en<br />
der Einhaltung des Nutzungsreglements (vgl. Kap. 8.2 <strong>und</strong> 8.3), bei<br />
der Gewährleistung der Sicherheit (z. B. beim Herausfinden der Quelle<br />
eines Virus oder eines internen Hackingversuches) oder durch andere<br />
Hinweise (z. B. Vorfinden von gedrucktem privatem Material beim Firmendrucker,<br />
versehentliche Zustellung von privaten E-<strong>Mail</strong>s an Vorgesetzten<br />
oder eine Überlastung der E-<strong>Mail</strong>-Box eines Arbeitnehmers)<br />
festgestellt werden.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
28<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
8. Die <strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<br />
<strong>Mail</strong>-Benutzung <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Es ist an dieser Stelle nochmals klar festzuhalten, dass sowohl die technische<br />
Prävention als auch die Sensibilisierung <strong>und</strong> Mitwirkung der Arbeitnehmer<br />
Vorrang gegen<strong>über</strong> der <strong>Überwachung</strong> haben. Nur wenn ein<br />
Missbrauch so nicht verhindert werden kann, darf der Arbeitgeber eine<br />
personenbezogene <strong>Überwachung</strong> in Betracht ziehen.<br />
Die <strong>Überwachung</strong> des privaten Surfens wird von derjenigen der privaten<br />
E-<strong>Mail</strong>-Benutzung separat betrachtet.<br />
Zu bemerken ist, dass in Kleinunternehmen die nachfolgenden Ausführungen<br />
kaum Anwendung finden, da keine richtige Anonymität garantiert<br />
werden kann.<br />
In den folgenden Kapiteln wird insbesondere die <strong>Überwachung</strong> des<br />
Surf- <strong>und</strong> E-<strong>Mail</strong>-Verhaltens aufgr<strong>und</strong> der Auswertung der Protokollierungen<br />
erörtert. Wegen ihrer präventiven, permanenten <strong>und</strong> vorsätzlichen<br />
Natur ist sie die geläufigste <strong>und</strong> gefährlichste Art der <strong>Überwachung</strong>.<br />
Möglich ist aber auch die zufällige <strong>Überwachung</strong> im Rahmen der Gewährleistung<br />
der Sicherheit <strong>und</strong> Funktionstüchtigkeit der technischen<br />
Ressourcen oder aufgr<strong>und</strong> anderer Hinweise.<br />
8.1 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit<br />
<strong>und</strong> der Funktionstüchtigkeit des betrieblichen EDV-<br />
Systems<br />
Eine Aufgabe der Informatikdienste oder Sicherheitsbeauftragten eines<br />
Unternehmens besteht in der Gewährleistung der Sicherheit <strong>und</strong> Funktionstüchtigkeit<br />
der technischen Mittel. In Kleinbetrieben ist der Vorgesetzte<br />
oft dafür selber zuständig. Die Gewährleistung der Sicherheit erfolgt<br />
laufend, meistens durch den Einsatz von technischen Schutzmassnahmen<br />
(z. B. Intrusion Detection System), <strong>und</strong> anonym. Die Abwehr<br />
von internen oder externen Angriffen wird weitgehend diesen<br />
Massnahmen <strong>über</strong>lassen. Der Arbeitgeber hat dafür zu sorgen, dass die<br />
technischen Schutzmassnahmen regelmässig dem neusten Stand der<br />
Technik angepasst werden.<br />
Manifestiert sich eine technische Störung trotz Schutzmassnahmen,<br />
können bei der Suche nach deren Ursache die Protokollierungen beigezogen<br />
werden. Die Ursache der Störung kann zugleich einen Missbrauch<br />
darstellen oder einen Missbrauchsverdacht erwecken. Im Falle<br />
eines erwiesenen Missbrauches kann der identifizierte Mitarbeiter gemäss<br />
den Ausführungen in Kapitel 10 sanktioniert werden.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
29<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
8.2 <strong>Überwachung</strong> aufgr<strong>und</strong> anderer Hinweise<br />
Der Missbrauchsverdacht oder der Missbrauch kann auch<br />
zufälligerweise, durch andere Hinweise entstehen bzw. festgestellt werden<br />
(vgl. Kapitel 7.2). Zur Identifikation des fehlbaren Mitarbeiters können,<br />
falls nötig, die entsprechenden Protokollierungen (z. B. die Protokollierung<br />
des Druckers) oder auch nur deren Auswertungen beigezogen<br />
werden. Bei erwiesenem Missbrauch kommen die Sanktionen gemäss<br />
Kapitel 10 zur Anwendung.<br />
8.3 <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der Protokollierungen<br />
Bei der Auswertung einer Protokollierung geht es um eine <strong>über</strong>sichtliche<br />
Analyse von protokollierten Aktivitäten nach bestimmten, vordefinierten<br />
Kriterien. Die Auswertung wird durch ein dafür vorgesehenes<br />
Progr<strong>am</strong>m erzeugt. Eine oder mehrere miteinander verknüpfte Auswertungen<br />
(z. B. aus <strong>Internet</strong>-, E-<strong>Mail</strong>- <strong>und</strong> Telefonaktivitäten) können Persönlichkeitsprofile<br />
bilden. Deshalb könnte der Auswertungstool eine<br />
Protokollierung <strong>über</strong> die erzeugten Auswertungen vornehmen.<br />
Es bestehen hauptsächlich drei verschiedene Auswertungsarten: die<br />
anonyme, die pseudonyme <strong>und</strong> die n<strong>am</strong>entliche Auswertung.<br />
Bei der anonymen Auswertung geht es um die statistische Analyse<br />
der Protokollierungen (z. B. nach dem Kriterium der meistbesuchten <strong>Internet</strong>-Seiten<br />
oder nach der Anzahl gesendeter E-<strong>Mail</strong>s). Die Auswertung<br />
kann sowohl die ges<strong>am</strong>te Arbeitnehmerschaft einer Firma als<br />
auch nur einen Teil davon (z. B. eine bestimmte Firmenabteilung) betreffen.<br />
Um die Anonymität zu gewährleisten, hat die untersuchte Personenmenge<br />
genügend gross zu sein.<br />
Bei der pseudonymen Auswertung geht es um eine Protokollierungsanalyse<br />
nach pseudonymisierter, bestimmbarer Person (z. B. die meist<br />
besuchten <strong>Internet</strong>-Seiten pro pseudonymisierte Person). Das Pseudonym<br />
muss genügend robust sein, um die Identität der betroffenen Person<br />
in der Phase der nichtpersonenbezogenen <strong>Überwachung</strong> (vgl. Kapitel<br />
8.4.1.1) zu schützen. Sowohl User-ID als auch statisch vergebene<br />
IP-Adresse gelten nicht als robuste Pseudonyme, da d<strong>am</strong>it die Identität<br />
der betroffenen Personen leicht zu rekonstruieren ist.<br />
Die n<strong>am</strong>entliche Auswertung stellt eine Protokollierungsanalyse nach<br />
einer bestimmten Person dar. Die Relation der Pseudonyme mit den<br />
entsprechenden Personenn<strong>am</strong>en befindet sich in der sogenannten<br />
Korrespondenzliste. Durch Verknüpfung des Pseudonyms mit der Kor-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
30<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
respondenzliste lässt sich die Identität der betroffenen Person ermitteln<br />
(Reidentifikation/n<strong>am</strong>entliche Auswertung). Es ist empfehlenswert, die<br />
Auswertungen der Protokollierungen von der Korrespondenzliste (Benutzern<strong>am</strong>en<br />
<strong>und</strong> entsprechende Pseudonyme) physisch <strong>und</strong> funktionell<br />
(durch zwei verschiedene Personen) getrennt aufzubewahren.<br />
Es ist aber zu bedenken, dass weder getrennte Listen noch Pseudonymisierung<br />
der Benutzern<strong>am</strong>en eine anonyme <strong>Überwachung</strong> garantieren,<br />
wenn die Korrespondenzlisten allgemein auffindbar sind 15 .<br />
Speziell gilt, dass die n<strong>am</strong>entliche Auswertung der Protokollierung der<br />
E-<strong>Mail</strong>s, welche gemäss Kapitel 8.5 als privat bezeichnet sind, nur folgende<br />
Elemente zu enthalten hat: Datum, Zeit, Absenderadresse (unterdrückt<br />
bei eingehenden E-<strong>Mail</strong>s), Empfängeradresse (unterdrückt bei<br />
ausgehenden E-<strong>Mail</strong>s), Vermerk . Mit anderen Worten, darf nur<br />
die E-<strong>Mail</strong> Adresse des Arbeitnehmers in der n<strong>am</strong>entlichen Auswertung<br />
erscheinen.<br />
8.4 Die <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der Surfprotokollierungen<br />
Die <strong>Überwachung</strong> der Auswertungen der <strong>Internet</strong>protokollierungen<br />
dient dem Schutz der Interessen des Arbeitgebers gemäss Kapitel 2 dieses<br />
<strong>Leitfaden</strong>s.<br />
Die <strong>Überwachung</strong> der Auswertungen der <strong>Internet</strong>protokollierungen unterteilt<br />
sich in zwei Phasen:<br />
- Nichtpersonenbezogene <strong>Überwachung</strong>;<br />
- Personenbezogene <strong>Überwachung</strong>.<br />
8.4.1 Erste Phase: Nichtpersonenbezogene <strong>Überwachung</strong><br />
Die Zwecke der ersten Phase der <strong>Überwachung</strong>, die sogenannte nichtpersonenbezogene<br />
<strong>Überwachung</strong>, bestehen hauptsächlich in der Erstellung<br />
von Statistiken <strong>und</strong> in der Kontrolle der Einhaltung des Nutzungsreglements.<br />
- Erstellung von Statistiken: Statistiken erfolgen aufgr<strong>und</strong> anonymer<br />
Auswertungen der Protokollierungen <strong>und</strong> bezwecken die strukturierte,<br />
anonyme Wiedergabe der durchschnittlichen <strong>Internet</strong>benutzung.<br />
- Kontrolle der Einhaltung des Nutzungsreglements: Unter der<br />
Voraussetzung, dass die Arbeitnehmer vorgängig im <strong>Überwachung</strong>sreglement<br />
dar<strong>über</strong> informiert wurden (vgl. Kapitel 7.1 <strong>und</strong> Anhang C),
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
31<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
darf der Arbeitgeber die Einhaltung des Nutzungsreglements kontrollieren.<br />
Je nach <strong>Überwachung</strong>sreglement erfolgt diese Kontrolle durch<br />
eine anonyme <strong>und</strong>/oder durch eine pseudonyme Auswertung der<br />
Protokollierungen. Die anonyme Auswertung ermöglicht keine Identifikation<br />
<strong>und</strong> darf demzufolge permanent erfolgen. Die pseudonyme<br />
Auswertung ermöglicht die <strong>Überwachung</strong> des Verhaltens einer bestimmbaren<br />
Person im Vergleich zum durchschnittlichen (anonymen)<br />
Verhalten. Sie darf nur stichprobenartig, nach einem bestimmten<br />
Zeitplan erfolgen (z. B. ein Tag pro Monat, unter Angabe der betroffenen<br />
Woche; Dadurch soll das Gefühl der ständigen, individuellen Verhaltens<strong>über</strong>wachung<br />
verhindert werden). Die <strong>Überwachung</strong> der ges<strong>am</strong>ten<br />
Zeitspanne seit der letzten Stichprobe (z. B. durch Content<br />
Scanner oder Spionprogr<strong>am</strong>me, vgl. Kapitel 8.2.3) käme hingegen einer<br />
ständigen Verhaltens<strong>über</strong>wachung der ges<strong>am</strong>ten Arbeitnehmerschaft<br />
gleich, welche gemäss Art. 26 ArGV 3 nicht zulässig ist. Die<br />
nichtpersonenbezogene <strong>Überwachung</strong> der Einhaltung des Nutzungsreglements<br />
sollte durch den Datenschutzberater der Firma,<br />
durch einen dafür speziell ausgebildeten Mitarbeiter oder durch eine<br />
externe Vertrauensperson durchgeführt werden. Die beauftragte Person<br />
muss <strong>über</strong> ihre Verantwortung klar informiert werden, besonders<br />
im Zus<strong>am</strong>menhang mit dem Verbot von personenbezogenen Auswertungen<br />
in dieser Phase.<br />
8.4.2 Zweite Phase: Personenbezogene <strong>Überwachung</strong><br />
Bei der zweiten Phase der <strong>Überwachung</strong>, der sogenannten personenbezogenen<br />
<strong>Überwachung</strong>, geht es um die Identifikation bzw. Reidentifikation<br />
einer Person im Falle einer Missbrauchsfeststellung oder eines<br />
Missbrauchsverdachts in der ersten Phase.<br />
Beim Missbrauchsverdacht 16 wird die pseudonymisierte Auswertung<br />
der Protokollierung herangezogen <strong>und</strong> durch Verknüpfung mit der Korrespondenzliste<br />
n<strong>am</strong>entlich ausgewertet. Das Ziel dieser n<strong>am</strong>entlichen<br />
Auswertung besteht darin, das Bestehen eines Missbrauches zu bestätigen<br />
oder den Missbrauchsverdacht zu eliminieren. Wird der Missbrauchsverdacht<br />
nicht bestätigt, hört man mit der n<strong>am</strong>entlichen Auswertung<br />
der Protokollierung sofort auf. Der Arbeitgeber bleibt aber<br />
weiterhin gehalten, die technischen Schutzmassnahmen <strong>und</strong>/oder das<br />
Nutzungsreglement an den technischen Fortschritt anzupassen, z. B.<br />
durch die Beschaffung eines aktualisierten Antivirusprogr<strong>am</strong>ms oder<br />
durch die Erweiterung der Firewall mit einer <strong>über</strong>arbeiteten Sperrliste.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
32<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Liegt ein Missbrauch gemäss Kapitel 7.2 vor, passt der Arbeitgeber<br />
zuerst die technischen Schutzmassnahmen sowie, wenn nötig, das<br />
Nutzungsreglement an. Die Anpassung des Nutzungsreglements wird<br />
den Arbeitnehmern mitgeteilt.<br />
Die Identifikation bzw. Reidentifikation des fehlbaren Arbeitnehmers erfolgt<br />
gemäss Kapitel 8.3. Danach kann der Arbeitgeber die passenden<br />
arbeitsrechtlichen Massnahmen treffen (vgl. Kapitel 10).<br />
Da eine solche Bearbeitung der Protokollierung weitere, mit dem Missbrauch<br />
nicht zus<strong>am</strong>menhängende Personendaten enthüllen kann, ist<br />
die mit der Auswertung beauftragte Person an das Berufsgeheimnis<br />
besonders geb<strong>und</strong>en. Sie darf solche Daten nicht missbrauchen. Im Falle<br />
einer Datenbearbeitung durch Dritte hat der Arbeitgeber Letztere<br />
darauf hinzuweisen (Art. 14 DSG).<br />
8.5 Die <strong>Überwachung</strong> des E-<strong>Mail</strong>-Verkehrs<br />
8.5.1 Die <strong>Überwachung</strong> des privaten e-<strong>Mail</strong>-Verkehrs<br />
Für die E-<strong>Mail</strong>-<strong>Überwachung</strong> gelten die mehr oder weniger gleichen<br />
Gr<strong>und</strong>sätze wie für die klassische Papierpost. In den folgenden Zeilen<br />
wird deshalb zuerst die <strong>Überwachung</strong> der Papierpost <strong>am</strong> <strong>Arbeitsplatz</strong><br />
behandelt 17 .<br />
Die private Post <strong>am</strong> <strong>Arbeitsplatz</strong> geniesst uneingeschränkten Schutz.<br />
Die private Post ist demzufolge ungeöffnet an die adressierte Person<br />
weiterzuleiten. Wird private Post durch Drittpersonen trotzdem geöffnet,<br />
so liegt eine widerrechtliche Persönlichkeitsverletzung vor. Letztere<br />
kann entweder zivil- (Art. 15 DSG) oder verwaltungsrechtlich (Art. 25<br />
DSG) verfolgt werden. In beiden Fällen bleiben auch strafrechtliche Konsequenzen<br />
vorbehalten (Art. 179 StGB). Als Privatpost gilt eine Sendung,<br />
bei der erkennbar ist, dass sie einem Arbeitnehmer nicht in beruflicher<br />
Eigenschaft, sondern als Privatperson zugestellt worden ist. Anhaltspunkte<br />
für Privatpost sind besondere Vermerke wie „privat“ oder „eigenhändig“.<br />
Massgebend ist auch die Art der Sendung (Todesanzeige,<br />
adressierte Zeitung oder Zeitschrift) oder äussere Merkmale (Kleinformate,<br />
farbiges Papier, Postkarten, an einen Bediensteten adressierte<br />
Militärpost).<br />
Die Anschrift „Herr X, Dienststelle Y“ lässt somit erst dann auf den persönlichen<br />
Inhalt schliessen, wenn dies durch einen Zusatz (privat, usw.)<br />
zum Ausdruck gebracht wird. Das blosse Voranstellen des N<strong>am</strong>ens genügt<br />
nicht, um zu zeigen, dass die Sendung einem Bediensteten als Privatperson<br />
zugestellt worden ist (BGE 114 IV 16).<br />
Ähnlich wie im Post- sowie Telefoniebereich darf der Arbeitgeber aufgr<strong>und</strong><br />
des Persönlichkeitsschutzes <strong>und</strong> des Verhaltens<strong>über</strong>wachungs-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
33<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
verbotes keine Einsicht in den Inhalt privater E-<strong>Mail</strong>s des Arbeitnehmers<br />
haben. Aufgr<strong>und</strong> der Adressierungselemente ist eine automatisierte<br />
Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s<br />
kaum möglich. Private E-<strong>Mail</strong>s sind vom Absender demzufolge durch<br />
eine Vermerkoption „privat“ zu kennzeichnen. Wenn kein Unterscheidungsvermerk<br />
zwischen privaten <strong>und</strong> beruflichen E-<strong>Mail</strong>s besteht <strong>und</strong><br />
die private Natur eines E-<strong>Mail</strong>s aufgr<strong>und</strong> der Adressierungselemente<br />
nicht erkennbar <strong>und</strong> nicht anzunehmen ist, darf der Arbeitgeber – analog<br />
den klassischen Postsendungen – davon ausgehen, dass das E-<strong>Mail</strong><br />
beruflich ist. Bestehen Zweifel <strong>über</strong> die Natur eines E-<strong>Mail</strong>s, ist sie mit<br />
dem Angestellten zu klären.<br />
Ein Entpacken <strong>und</strong> weiteres Bearbeiten (z. B. Sichern, Weiterleiten,<br />
Scannen) von E-<strong>Mail</strong>s, welche als „privat“ gekennzeichnet bzw. erkennbar<br />
sind, bleibt dem Arbeitgeber somit verwehrt. Die Respektierung der<br />
Privatsphäre als Teil der Persönlichkeit zeigt sich auch beim verfassungsmässigen<br />
Fernmeldegeheimnis, welches auch für den E-<strong>Mail</strong>-Verkehr<br />
<strong>über</strong> <strong>Internet</strong> gilt (BGE 126 I 50, insb. Erw. 6a). Danach darf die Einsicht<br />
in eine private E-<strong>Mail</strong> nur mit richterlicher Genehmigung für die<br />
Verfolgung von Verbrechen oder Vergehen erfolgen. Eine Möglichkeit,<br />
den Inhalt von privaten E-<strong>Mail</strong>s zu schützen, besteht darin, einen internetbasierten,<br />
vom geschäftlichen getrennten <strong>und</strong> wenn möglich verschlüsselten<br />
E-<strong>Mail</strong>-Dienst zu gebrauchen. 18<br />
Ob internetbasierte, verschlüsselte E-<strong>Mail</strong>-Dienste <strong>über</strong>haupt benutzt<br />
werden dürfen, hängt vom Nutzungsreglement ab. Ist die <strong>Internet</strong>nutzung<br />
verboten, geht der Arbeitnehmer das Risiko ein, wegen privaten<br />
Surfens <strong>am</strong> <strong>Arbeitsplatz</strong> sanktioniert zu werden. Für den privaten E-<br />
<strong>Mail</strong>-Gebrauch <strong>am</strong> <strong>Arbeitsplatz</strong> gilt also folgende Regel: Lässt das Nutzungsreglement<br />
die private E-<strong>Mail</strong>-Nutzung zu, so besteht zum besseren<br />
eigenen Schutz die Möglichkeit, ein webbasierter, wenn möglich<br />
verschlüsselter E-<strong>Mail</strong>-Dienst zu benutzen. Ist die private E-<strong>Mail</strong>-Nutzung<br />
<strong>am</strong> <strong>Arbeitsplatz</strong> untersagt, verzichtet man <strong>am</strong> besten darauf. Eine<br />
vollständige Verhinderung eingehender privater E-<strong>Mail</strong>s ist hingegen<br />
nicht möglich. Der Arbeitgeber muss sich bewusst sein, dass er den<br />
Arbeitnehmer nicht für den Eingang aller privater E-<strong>Mail</strong>s verantwortlich<br />
machen kann.<br />
Organisatorisch erfolgt die Archivierung der E-<strong>Mail</strong>s heutzutage in der<br />
Regel noch im E-<strong>Mail</strong>-Server. Die entsprechenden Backups können,<br />
wenn dies im <strong>Überwachung</strong>sreglement vorgesehen ist <strong>und</strong> die Protokollierungen<br />
keine Identifikation ermöglicht haben, nicht nur bei Datenverlust,<br />
sondern auch zur Identifikation fehlbarer Mitarbeiter oder zur<br />
Erhärtung von Missbrauchsverdacht verwendet werden.<br />
Aus Gründen einer klaren Unterscheidung zwischen privaten <strong>und</strong> ge-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
34<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
schäftlichen E-<strong>Mail</strong>s, aber auch zur besseren Verwaltung der geschäftlichen<br />
E-<strong>Mail</strong>s wird jedoch empfohlen, die E-<strong>Mail</strong>-Box nicht als Archiv zu<br />
gebrauchen. Private E-<strong>Mail</strong>s sollen auf einem privaten Datenträger, geschäftliche<br />
E-<strong>Mail</strong>s in ein geschäftliches Dokumentverwaltungssystem<br />
verschoben werden. Dadurch wird ein beträchtlicher Beitrag <strong>am</strong> Schutz<br />
der eigenen Privatsphäre geleistet, da unter anderem keine privaten E-<br />
<strong>Mail</strong>s in geschäftlichen Backups gespeichert werden.<br />
8.5.1.1 Vorgehensweise<br />
Für die <strong>Überwachung</strong> der Einhaltung der E-<strong>Mail</strong>-Nutzungsregelung gelten<br />
die gleichen Ausführungen wie für die <strong>Überwachung</strong> des Surfens<br />
(vgl. Kapitel 8.1 ff).<br />
8.5.2 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs<br />
Die Geschäftsverwaltung setzt eine systematische Registrierung <strong>und</strong><br />
Nachvollziehbarkeit von allen ein- <strong>und</strong> ausgehenden geschäftlichen<br />
Dokumenten (inkl. E-<strong>Mail</strong>s) voraus. Die Firma hat das Recht, die geschäftlichen<br />
E-<strong>Mail</strong>s vollständig zu protokollieren <strong>und</strong> inhaltlich zu sichern<br />
(Backup). Es empfiehlt sich, die Protokollierung auf die Betreffzeile,<br />
Datum, Zeit, Absender- <strong>und</strong> Empfängeradresse zu beschränken. Im E-<br />
<strong>Mail</strong>-Bereich, analog wie mit der herkömmlichen postalischen Geschäftskorrespondenz,<br />
bestehen zwei Adressierungsmodi: Die<br />
n<strong>am</strong>entliche (z. B. hans.meier@firma.ch oder hans.meier@verkauf.firma.<br />
ch) <strong>und</strong>/oder die n<strong>am</strong>enlose, funktionelle (z. B. info@firma.ch,<br />
verkauf@firma.ch, oder verkaufsleiter@firma.ch) Adressierung. Heutzutage<br />
ist die n<strong>am</strong>entliche Adressierung weit verbreitet.<br />
Die n<strong>am</strong>entliche Adressierung alleine bereitet eine Vielzahl von Nachteilen<br />
bei der Geschäftsverwaltung: Die <strong>Mail</strong>verwaltung während Abwesenheiten<br />
<strong>und</strong> beim Verlassen der Firma <strong>und</strong> die d<strong>am</strong>it verb<strong>und</strong>ene<br />
Schwierigkeit der Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen<br />
E-<strong>Mail</strong>s. Wenn kein Unterscheidungsvermerk zwischen privaten<br />
<strong>und</strong> beruflichen E-<strong>Mail</strong>s besteht <strong>und</strong> die private Natur eines E-<strong>Mail</strong>s aufgr<strong>und</strong><br />
der Adressierungselemente nicht erkennbar <strong>und</strong> nicht anzunehmen<br />
ist, darf der Arbeitgeber – analog den klassischen Postsendungen<br />
– davon ausgehen, dass das E-<strong>Mail</strong> beruflich ist.<br />
Die n<strong>am</strong>enlose, funktionelle Adressierung ist für die nicht persönliche<br />
geschäftliche Korrespondenz geeignet, da sie die oben erwähnten<br />
Schwierigkeiten der n<strong>am</strong>entlichen Adressierung nicht aufweist. Die n<strong>am</strong>entliche<br />
Adressierung sollte für den rein persönlichen, geschäftlichen<br />
Informationsaustausch (z. B. bei Personalangelegenheiten oder persönlichen<br />
Mitteilungen) gebraucht werden.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
35<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
8.5.2.1 Die E-<strong>Mail</strong>-Verwaltung während Abwesenheiten<br />
Was die vorhersehbaren Abwesenheiten (z. B. Ferien, Urlaub, Militärdienst)<br />
betrifft, bestehen hauptsächlich drei Verwaltungsarten:<br />
- Definieren einer automatischen Antwort an den Absender mit Abwesenheitsmeldung<br />
<strong>und</strong> Notfallkoordinaten.<br />
- Definieren einer Weiterleitung des Eingangs an einen Stellvertreter.<br />
Diese Lösung ist mit dem Risiko verb<strong>und</strong>en, dass private E-<strong>Mail</strong>s, welche<br />
als solche nicht vermerkt sind, an den gewählten Stellvertreter<br />
gelangen.<br />
- Definieren eines Stellvertreters mit abgestufter Berechtigung zur Einsicht<br />
<strong>und</strong> eventuellen Weiterbearbeitung der geschäftlichen eingehenden<br />
E-<strong>Mail</strong>s. Die als privat gekennzeichneten E-<strong>Mail</strong>s sind für den<br />
Stellvertreter nicht sichtbar. Dadurch bleibt die Privatsphäre des abwesenden<br />
Arbeitnehmers geschützt. Dem Absender muss bewusst<br />
sein, dass das E-<strong>Mail</strong> durch den Stellvertreter eingesehen wird, wenn<br />
es nicht als „privat“ erkannt werden kann.<br />
Bei „unvorhersehbaren“ Abwesenheiten (z. B. Krankheit, Unfall) ist ein<br />
Stellvertreter pro Mitarbeiter (vgl. C.) zum Voraus zu ernennen.<br />
8.5.2.2 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Angestellten<br />
Vor dem Austritt hat ein Arbeitnehmer die noch hängigen Geschäfte<br />
wie E-<strong>Mail</strong>s intern weiterzuleiten. Der Arbeitnehmer hat die Übergabe<br />
sämtlicher Geschäftsdokumente an die Firma zu bestätigen 19 . Er muss<br />
die Möglichkeit haben, seine privaten E-<strong>Mail</strong>s <strong>und</strong> andere Dokumente<br />
auf private Datenträger zu speichern <strong>und</strong> aus den Servern der Firma zu<br />
löschen.<br />
Beim Austritt (oder im Todesfall) ist spätestens <strong>am</strong> letzten Arbeitstag<br />
sein E-<strong>Mail</strong>-Account (wie übrigens auch alle anderen EDV-Accounts) zu<br />
sperren <strong>und</strong> sein Briefkasten (wie alle anderen persönlichen Datenträger)<br />
zu löschen. Der Arbeitgeber sollte sich dazu schriftlich verpflichten.<br />
Absender, welche E-<strong>Mail</strong>s an die gesperrte E-<strong>Mail</strong>-Adresse schicken,<br />
werden automatisch informiert, dass die Empfängeradresse hinfällig<br />
ist. In der automatischen Antwort wird eine Ersatz-E-<strong>Mail</strong>-Adresse der<br />
Firma angegeben.<br />
8.5.3 Besondere Fälle der E-<strong>Mail</strong>-<strong>Überwachung</strong><br />
Darf der Arbeitgeber einen Arbeitnehmer identifizieren, dem z. B. Persönlichkeitsverletzungen<br />
oder Mobbing durch anonyme E-<strong>Mail</strong>s vorgeworfen<br />
werden?
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
36<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Die mögliche Persönlichkeitsverletzung eines Arbeitnehmers durch einen<br />
anderen Arbeitnehmer ist Sache der betroffenen Person <strong>und</strong> der<br />
Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität der<br />
fehlbaren Person herauszufinden, wenn die Treuepflicht <strong>und</strong> die Interessen<br />
des Arbeitgebers auch tangiert werden (z. B. Leistungseinbruch<br />
durch Kränkung eines Arbeitnehmers). Die Identifikation ist ebenfalls erlaubt,<br />
wenn private E-<strong>Mail</strong>s im Nutzungsreglement verboten sind. Der<br />
Rechtfertigungsgr<strong>und</strong> für die Identifikation der fehlbaren Person ist in<br />
einem solchen Fall die Verletzung des Nutzungsreglements resp. der<br />
Treuepflicht, nicht die vermeintliche Persönlichkeitsverletzung eines<br />
Mitarbeiters.<br />
8.6 Teleworker<br />
Unter Teleworker versteht man einen Arbeitnehmer mit <strong>Arbeitsplatz</strong><br />
ausserhalb der Firma (z. B. Heimarbeiter via <strong>Internet</strong>). Dadurch, dass der<br />
Teleworker ausserhalb der Firma arbeitet <strong>und</strong> nicht unter direkter Beaufsichtigung<br />
des Arbeitgebers steht, ist die private Benutzung der vom<br />
Arbeitgeber zur Verfügung gestellten Arbeitsinstrumenten in der Regel<br />
grösser. Obwohl dies nicht ohne Weiteres als Missbrauch von geschäftlichen<br />
Ressourcen zu deuten ist, ist die Gefahr einer Persönlichkeitsverletzung<br />
durch Einsichtnahme in Protokollierungen oder in privaten Dateien<br />
durch den Arbeitnehmer grösser als beim klassischen Arbeitnehmer.<br />
Um diese Gefahr zu vermeiden, empfiehlt es sich, einen separaten<br />
Datenträger (z.B. externe Harddisk, Diskette, CD) für private Angelegenheiten<br />
einzusetzen. Dies erleichtert u. a. die einwandfreie Rückgabe des<br />
Arbeitsinstrumentes beim Verlassen der Firma.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
37<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
9. Die <strong>Überwachung</strong> im Falle einer Straftat<br />
Wenn der Arbeitgeber im Rahmen einer <strong>Überwachung</strong> oder durch andere<br />
Hinweise den konkreten Verdacht schöpft, dass eine Straftat per<br />
Surfen oder E-<strong>Mail</strong> begangen wurde, so kann er die entsprechenden<br />
Beweise, bestehend aus den Protokollierungen <strong>und</strong> eventuellen Backups,<br />
sichern. Da die Beweissicherung technisch komplex ist, sollte sie<br />
durch einen Spezialisten (forensic computing scientist 20 ) durchgeführt<br />
werden.<br />
Aufgr<strong>und</strong> der Protokollierungen oder einer Beschwerde von betroffenen<br />
Arbeitnehmern oder Dritten kann der Verdacht oder die Gewissheit<br />
<strong>über</strong> ein Verhalten entstehen, das nicht nur gegen Arbeitsvertrag oder<br />
Nutzungsreglement verstösst, sondern einen Straftatbestand erfüllt,<br />
wie zum Beispiel:<br />
- Rufschädigung (Art. 173ff StGB);<br />
- sexuelle Belästigung <strong>am</strong> <strong>Arbeitsplatz</strong> (Art. 198 StGB);<br />
- Verbreitung von rassistischem oder pornographischen Material (Art.<br />
261 bis <strong>und</strong> 197 StGB);<br />
- „Sabotage per <strong>Internet</strong>“ oder „Betriebsspionage“ (vgl. insb. Art. 143,<br />
143 bis , 144 bis , 147 StGB).<br />
Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten<br />
<strong>und</strong> ev. dem Personaldienst, nicht jedoch beim Informatikdienst.<br />
Es besteht keine Anzeigepflicht, es ist jedoch empfehlenswert,<br />
zumindest im Zus<strong>am</strong>menhang mit Offizialdelikten, Anzeige zu erstatten,<br />
um die Gefahr der Mittäterschaft zu verhindern. Da ein Missbrauch<br />
vorliegt, darf der Arbeitgeber die verdächtigte Person identifizieren <strong>und</strong><br />
Anzeige gegen sie erstatten. Das weitere strafrechtliche Vorgehen ist<br />
Sache der zuständigen Behörde. Zum Beispiel kann die Anordnung einer<br />
weiteren personenbezogenen <strong>Überwachung</strong> des <strong>Internet</strong>verhaltens<br />
zur Erhärtung des Verdachtes wegen des schweren Eingriffs in die<br />
Persönlichkeit nur durch die zuständige Strafjustizbehörde angeordnet<br />
werden. Vom Arbeitgeber selber durchgeführte weitere personenbezogene<br />
Verhaltens<strong>über</strong>wachungen zur Erhärtung des Verdachtes können<br />
als unzulässige Beweismittel im Rahmen eines Strafverfahrens betrachtet<br />
werden. Zudem können sie auch rechtliche Folgen für den Arbeitgeber<br />
nach sich ziehen (vgl. Kapitel 11).<br />
Der Arbeitgeber muss das Resultat der Ermittlungen gegen<strong>über</strong> Dritten,<br />
insbesondere gegen<strong>über</strong> den anderen Arbeitnehmern, vertraulich<br />
behandeln.<br />
Vorbehalten bleiben auch bei einer Straftat die arbeitsrechtlichen Sanktionen<br />
wegen Verletzung des Nutzungsreglements (vgl. Kapitel 10).
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
38<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
10. Sanktionen bei Missbrauch<br />
Wenn die Voraussetzungen <strong>und</strong> die Regeln der <strong>Überwachung</strong> eingehalten<br />
worden sind, kann der Arbeitgeber (im Idealfall der direkte Vorgesetzte<br />
<strong>und</strong> ev. der Personaldienst) im Falle eines erwiesenen Missbrauchs<br />
arbeitrechtliche Sanktionen gegen den fehlbaren Arbeitnehmer<br />
aussprechen. Der Arbeitnehmer haftet für den Schaden, den er<br />
absichtlich oder fahrlässig dem Arbeitgeber zufügt (Art. 321e OR).<br />
In Frage kommen z. B. Abmahnungen, Sperrungen des <strong>Internet</strong>zugriffs,<br />
Schadenersatzforderungen, Lohnkürzungen oder Versetzungen. In extremen<br />
Fällen, wie bei wiederholtem Missbrauch mit technischer Störung<br />
trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber<br />
sogar die Entlassung aussprechen (Art. 335 OR). Die fristlose Entlassung<br />
eines Arbeitnehmers kann nur ausgesprochen werden, wenn<br />
dem Arbeitgeber nach Treu <strong>und</strong> Glauben die Fortsetzung des Arbeitsverhältnisses<br />
nicht mehr zugemutet werden kann (Art. 337 OR).<br />
Für das Aussprechen von Sanktionen sind die Vorgesetzten des fehlbaren<br />
Arbeitnehmers zuständig. Wenn es im <strong>Überwachung</strong>sreglement<br />
vorgesehen <strong>und</strong> der Missbrauch mit absoluter Sicherheit erwiesen ist,<br />
dürfen die Informatikdienste oder Sicherheitsbeauftragten selber Abmahnungen<br />
aussprechen sowie Zugriffsbeschränkungen oder Löschungen<br />
vornehmen. Vor einer Löschung müssen die betroffenen Arbeitnehmer<br />
informiert werden <strong>und</strong> soll ihnen die Möglichkeit gegeben<br />
werden, die betreffenden Dateien, z. B. E-<strong>Mail</strong>s, auf privaten Datenträgern<br />
zu speichern.<br />
Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst<br />
<strong>und</strong> in ihrem Umfang bereits im <strong>Überwachung</strong>sreglement bestimmt<br />
oder bestimmbar sein.<br />
Ein Missbrauch muss nicht immer auf bösem Willen des Arbeitnehmers<br />
basieren. Oft stecken Neugier <strong>und</strong> fehlende Information <strong>über</strong> die d<strong>am</strong>it<br />
verb<strong>und</strong>enen Sicherheitsgefahren durch den Arbeitgeber dahinter. Dieser<br />
trägt in solchen Fällen ein Teil der Verantwortung.<br />
Einen wesentlichen Teil der Verantwortung für die Infektion eines Rechners<br />
trägt der Arbeitgeber auch dann selber, wenn er kein oder kein<br />
geeignetes Antivirusprogr<strong>am</strong>m installiert hat. Der Arbeitgeber muss<br />
dafür sorgen, dass das Antivirusprogr<strong>am</strong>m regelmässig automatisch<br />
aktualisiert wird (insb. die Definitionsdateien) <strong>und</strong> vom Arbeitnehmer<br />
nicht deaktiviert werden kann. Auch für sonstige mangelnde Sicherheitsvorkehrungen<br />
trägt der Arbeitgeber einen Teil der Verantwortung.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
39<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Wenn kein Nutzungsreglement mit klar definierten Unterscheidungskriterien<br />
zwischen zulässiger beruflicher Informationsbeschaffung <strong>und</strong><br />
unzulässiger privater Surftour vorhanden ist, wird es in der Praxis nicht<br />
leicht sein, eine <strong>Internet</strong>nutzung für erlaubt oder unerlaubt zu erklären.<br />
In solchen Fällen dürfen Sanktionen gegen einen Arbeitnehmer nur<br />
dann ergriffen werden, wenn ein klarer Missbrauch vorliegt.<br />
Bei Mangel eines Nutzungsreglements sollte der Arbeitnehmer nur für<br />
vorsätzlich oder grobfahrlässig herbeigeführte Schäden haften.<br />
Die IP-Adresse <strong>und</strong> somit in der Regel auch die Identität des fehlbaren<br />
Arbeitnehmers kann bewusst vertuscht werden. Der Arbeitgeber verpflichtet<br />
sich, arbeitsrechtliche Sanktionen nur bei 100%-iger Sicherheit<br />
<strong>über</strong> die Identität des fehlbaren Arbeitnehmers zu treffen. Die Gefahr<br />
der Identitätsaneignung kann durch zeitgerechte Aktivierung eines<br />
Bildschirmschoners mit Passwortschutz stark vermindert werden.<br />
Vorbehalten bleibt die strafrechtliche Verfolgung durch die zuständige<br />
Behörde, wenn ein Straftatbestand vorliegt.<br />
Was die Beweislast betrifft, gilt folgende Regelung: Der Arbeitgeber<br />
muss die Verletzung der Pflichten des Arbeitnehmers <strong>und</strong> den daraus<br />
resultierenden Schaden beweisen. In der Folge kann der Arbeitnehmer<br />
den Beweis seiner Unschuld oder einer nur leichten Schuld erbringen<br />
(Art. 97 OR) 21.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
40<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
11. Ansprüche des Arbeitnehmers bei unzulässiger<br />
<strong>Überwachung</strong><br />
Wenn der Arbeitgeber die einschlägigen Voraussetzungen <strong>und</strong> Regeln<br />
bei der <strong>Überwachung</strong>en der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Aktivitäten der Arbeitnehmer<br />
nicht einhält, so kann dies als widerrechtliche Persönlichkeitsverletzung<br />
gerichtlich angefochten werden (Art. 15 <strong>und</strong> 25 DSG). Für die<br />
Beweislast gilt Art. 97 OR. Der betroffene Arbeitnehmer kann seine Ansprüche<br />
(Feststellung der Widerrechtlichkeit, Schadenersatz, usw.)<br />
zuerst beim Arbeitgeber geltend machen. Geht dieser nicht auf die Forderungen<br />
des Arbeitnehmers ein, so kann der Arbeitsrichter angerufen<br />
werden. Dieser wendet in der Regel ein rasches <strong>und</strong> kostenloses Verfahren<br />
an. Auch die arbeitsrechtlichen Sanktionen, die der Arbeitgeber<br />
aufgr<strong>und</strong> einer missbräuchlichen <strong>Überwachung</strong> ausgesprochen hat,<br />
können angefochten werden (z. B. missbräuchliche Kündigung, Art. 336<br />
OR).<br />
Dem Arbeitgeber können im Falle einer missbräuchlichen <strong>Überwachung</strong><br />
auch strafrechtliche Folgen drohen, z. B. infolge einer Verletzung<br />
des Geheim- oder Privatbereiches durch Aufnahmegeräte (Art. 179 quater<br />
StGB) oder bei unbefugtem Beschaffen von Personendaten (Art. 179 novies<br />
StGB).<br />
Zu den unzulässigen <strong>Überwachung</strong>en gehören insbesondere die personenbezogene<br />
Auswertung der Protokollierungen ohne vorherige Information<br />
der Arbeitnehmer <strong>und</strong>/oder ohne Feststellung eines Missbrauchs<br />
sowie der Einsatz von Spionprogr<strong>am</strong>men.<br />
Eidgenössischer Datenschutzbeauftragter<br />
3003 Bern<br />
Tel. 031 322 43 95<br />
Fax 031 325 99 96
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
41<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Anhang A: Situationsschema<br />
Wardriving<br />
Laptop<br />
Demilitarisierte<br />
Zone<br />
<strong>Internet</strong><br />
Intrusion Detection<br />
System (IDS)<br />
Abbildung 1<br />
Wireless LAN<br />
Wireless LAN<br />
VoIP<br />
Laserdrucker<br />
Telefon<br />
Server<br />
Access Point<br />
LAN<br />
HTTP Server<br />
Proxy Server<br />
Internal firewall<br />
External firewall<br />
(NAT)<br />
Intranet Server<br />
Server<br />
Server<br />
Computer:<br />
- Antivirus<br />
- IP DNS<br />
- Sniffer<br />
Internal server:<br />
- Diskquotas<br />
FTP Server<br />
<strong>Mail</strong> Server<br />
Infrared<br />
Bluetooth<br />
DHCP Server<br />
VPN Router<br />
Hacker<br />
Intranet<br />
DNS Server<br />
Palm-Top<br />
Modem<br />
pool<br />
Modem<br />
VPN Router<br />
Teleworker<br />
Reseller<br />
Log Files<br />
Extranet<br />
ISDN modem<br />
Branch Office
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
42<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Anhang B: Voraussetzungen <strong>und</strong> Ablauf<br />
B.1 Die Voraussetzungen der <strong>Überwachung</strong><br />
� IP-Adresse;<br />
� User-Id;<br />
� URL;<br />
� Zeitangaben.<br />
<strong>Internet</strong><br />
(vgl. Kapitel 8.4.)<br />
Auswertung der<br />
Protokollierungen<br />
(vgl. Kapitel 8.3.)<br />
Protokollierungen<br />
(vgl. Anhang A <strong>und</strong><br />
Kapitel 4)<br />
� Sender- <strong>und</strong> Empfängeradressen;<br />
� Zeitangaben;<br />
� Betreffzeile;<br />
� usw. (aber kein Inhalt)<br />
Geschäftliche E-<br />
<strong>Mail</strong><br />
(vgl. Kapitel<br />
8.5.2.)<br />
Abbildung 2<br />
Email<br />
Protokollierung der<br />
Aktivitäten des<br />
Auswertungstools<br />
(vgl. Kapitel 8.3.)<br />
Technische<br />
Voraussetzungen<br />
� Adresse des Arbeitnehmers;<br />
� Zeitangaben;<br />
� Vermerk "Privat".<br />
Private E-<strong>Mail</strong><br />
(vgl. Kapitel<br />
8.5.1.)<br />
Technische <strong>und</strong><br />
organisatorische<br />
Schutzmassnahmen<br />
(vgl. Kapitel 3)<br />
� Passwort;<br />
� Zugriffsschutz;<br />
� Verschlüsselung;<br />
� Antivirusprogr<strong>am</strong>me;<br />
� Diskquotasmanagers;<br />
� Firewalls;<br />
� Backups;<br />
� Intrusion detection system;<br />
� Spyware blaster, detector and eraser;<br />
� Zugangskontrolle;<br />
� usw.<br />
Interne Information der kontrollierten <strong>und</strong> kontrollierenden Arbeitnehmer (vgl.<br />
Kapitel 5 <strong>und</strong> 7.1):<br />
Voraussetzungen<br />
� Nutzungsreglement;<br />
� <strong>Überwachung</strong>sreglement;<br />
� Regelmässige Schulung.<br />
Externe Information (E-<strong>Mail</strong>-Benutzer)<br />
(vgl. Kapitel 7.1)<br />
Verzicht auf Spionprogr<strong>am</strong>me zur Verhaltens<strong>über</strong>wachung<br />
(vgl. Kapitel 6)<br />
Rechtliche<br />
Voraussetzungen<br />
Missbrauch oder Missbrauchsverdacht<br />
(vgl. Kapitel 7.2)<br />
Auskunftsrecht<br />
(vgl. Kapitel 6.)<br />
Zweckgeb<strong>und</strong>ene Aufbewahrungsdauer der Protokollierungen<br />
(vgl. Kapitel 4.)
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
43<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
B.2 Der Ablauf der <strong>Überwachung</strong><br />
Andere Hinweise<br />
(intern <strong>und</strong>/oder extern)<br />
(vgl. Kapitel 8.2)<br />
Gewährleistung der<br />
Sicherheit <strong>und</strong> der<br />
Funktionstüchtigkeit der<br />
technischen Einrichtungen<br />
(vgl. Kapitel 8.1)<br />
N<strong>am</strong>entliche Auswertung der<br />
Protokollierungen<br />
(vgl. Kapitel 8.4.2)<br />
Permanente, anonyme<br />
<strong>Überwachung</strong><br />
(vgl Kapitel 8.3)<br />
Missbrauch<br />
Je nach Schwere des Missbrauchs (vgl.<br />
Kapitel 9 <strong>und</strong> 10):<br />
� Abmahnung;<br />
� Sperrung des <strong>Internet</strong>zugriffs;<br />
� Schadenersatzforderungen;<br />
� Beweissicherung <strong>und</strong> strafrechtiliche<br />
Anzeige;<br />
� Entlassung;<br />
� usw.<br />
Zivil- <strong>und</strong> strafrechtilche Klagemöglichkeiten<br />
bei Verletzung der Voraussetzungen der<br />
<strong>Überwachung</strong> durch den Arbeitgeber<br />
(vgl. Kapitel 11)<br />
Abbildung 3<br />
Missbrauch oder<br />
Missbrauchsverdacht?<br />
Ja<br />
Ev. Anpassung des<br />
Nutzungsreglements <strong>und</strong>/<br />
oder der technischen<br />
Schutzmassnahmen<br />
(vgl. Kapitel 8.1 ff)<br />
Missbrauch<br />
Stichprobenartige,<br />
pseudonyme <strong>Überwachung</strong><br />
(vgl Kapitel 8.3)<br />
Nein<br />
Missbrauchsverdacht Kein Missbrauch<br />
Verdacht durch eine erste<br />
minimale n<strong>am</strong>entliche<br />
Auswertung abklären<br />
(vgl Kapitel 8.4.2)<br />
Ev. Anpassung des<br />
Nutzungsreglements <strong>und</strong>/<br />
oder der technischen<br />
Schutzmassnahmen<br />
(vgl. Kapitel 8.1 ff)
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
44<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
B.3 Das Auswertungsverfahren<br />
DATE TIME USER-ID SENDER RECEIVER PRIVATE<br />
------------------------------------------------------------------------------<br />
010103 23:59 PETER BEISPIEL PB@FIRMA.COM XY@PRIVAT.COM YES<br />
020103 00:02 HANS MUSTER HM@FIRMA.COM PB@FIRMA.COM NO<br />
020103 00:02 PETER BEISPIEL PB@FIRMA.COM HM@FIRMA.COM NO<br />
020103 00:02 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO<br />
020103 00:10 HANS MUSTER HM@FIRMA.COM ZZ@PRIVAT.COM YES<br />
020103 00:11 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO<br />
020103 00:12 HANS MUSTER HM@FIRMA.COM ZZ@PRIVAT.COM YES<br />
020103 00:13 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO<br />
020103 00:14 HANS MUSTER HM@FIRMA.COM ZZ@PRIVAT.COM YES<br />
020103 00:15 PETER BEISPIEL PB@FIRMA.COM HM@FIRMA.COM NO<br />
020103 00:16 HANS MUSTER HM@FIRMA.COM PB@FIRMA.COM NO<br />
020103 00:17 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO<br />
020103 00:21 HANS MUSTER HM@FIRMA.COM ZZ@PRIVAT.COM YES<br />
020103 00:22 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO<br />
...<br />
DATE TIME USER-ID URL<br />
------------------------------------------------------<br />
010103 23:59 PETER BEISPIEL WWW.FIRMA.COM<br />
020103 00:02 HANS MUSTER WWW.FIRMA.COM<br />
020103 00:02 PETER BEISPIEL WWW.TEST.COM<br />
020103 00:02 HANS MUSTER WWW.SEX.COM<br />
020103 00:10 HANS MUSTER WWW.FIRMA.COM<br />
020103 00:11 HANS MUSTER WWW.TEST.COM<br />
020103 00:12 HANS MUSTER WWW.SEX.COM<br />
020103 00:13 HANS MUSTER WWW.FIRMA.COM<br />
020103 00:14 HANS MUSTER WWW.TRADING.COM<br />
020103 00:15 PETER BEISPIEL WWW.FIRMA.COM<br />
020103 00:16 HANS MUSTER WWW.SEX.COM<br />
020103 00:17 HANS MUSTER WWW.FIRMA.COM<br />
020103 00:21 HANS MUSTER WWW.FIRMA.COM<br />
020103 00:22 HANS MUSTER WWW.FIRMA.COM<br />
...<br />
Protokollierung des<br />
Auswertungstools<br />
Die mit der <strong>Überwachung</strong><br />
der Einhaltung der Nutzungsregelung<br />
beauftragte Person (in der Regel der<br />
Datenschutzberater der Firma) hat keinen<br />
direkten Zugriff auf die Protokollierungen,<br />
sondern nur auf deren Auswertungen.<br />
Anonyme Auswertung, 020203<br />
--------------------------<br />
<strong>Internet</strong><br />
--------<br />
1. www.firma.com 65%<br />
2. www.test.com 25%<br />
3. www.sex.com 6%<br />
Email<br />
-----<br />
Sended: 70 (37 private)<br />
Received: 70 (2 private)<br />
Abbildung 1: Vgl. Kapitel 8.3<br />
KORRESPONDENZLISTE<br />
-----------------xy123<br />
=> PETER BEISPIEL<br />
zz321 => HANS MUSTER<br />
Pseudonyme Auswertung, 020203<br />
-----------------------------<br />
Pseudo: zz321<br />
<strong>Internet</strong><br />
--------<br />
1. www.sex.com 55%<br />
2. www.firma.com 40%<br />
3. www.trading.com 5%<br />
Email<br />
-----<br />
Sended: 38 (35 private)<br />
Received: 37 (2 private)<br />
Protokollierung internet Protokollierung email<br />
Protokollierung Drucker<br />
Auswertungstool<br />
Die mit der Gewährleistung<br />
der Sicherheit <strong>und</strong><br />
Funktionstüchtigkeit<br />
beauftragten Infornatikdienste<br />
können einen direkten<br />
Zugriff auf die<br />
Protokollierungen haben<br />
N<strong>am</strong>entliche Auswertung, 020203<br />
------------------------------<br />
USER: HANS MUSTER<br />
<strong>Internet</strong><br />
--------<br />
1. www.sex.com 55%<br />
2. www.firma.com 40%<br />
3. www.trading.com 5%<br />
Email<br />
-----<br />
Sended: 38 (35 private)<br />
Received: 37 (2 private)
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
45<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Anhang C: Musterreglement <strong>über</strong> die Surfen<strong>und</strong><br />
E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
In diesem Musterreglement ist der Text in normaler Schrift verfasst, die<br />
Erklärungen <strong>und</strong> Hinweise zu notwendigen Ergänzungen in kursiver<br />
Schrift.<br />
C.1 Zweck <strong>und</strong> Geltungsbereich<br />
C.1.1 Zweck<br />
Dieses Reglement bezweckt den Schutz der Interessen von Arbeitgeber<br />
<strong>und</strong> Arbeitnehmer bei der <strong>Überwachung</strong> vom Surfen <strong>und</strong> vom E-<strong>Mail</strong><br />
<strong>am</strong> <strong>Arbeitsplatz</strong>.<br />
C.1.2 Geltungsbereich<br />
Dieses Reglement gilt für alle internen <strong>und</strong> externen Arbeitnehmer der<br />
Firma.<br />
C.2 Interessen <strong>und</strong> Risiken des Arbeitgebers <strong>und</strong> Arbeitnehmers<br />
C.2.1 Interessen <strong>und</strong> Risiken des Arbeitgebers<br />
Durch Benutzung des vernetzten Computers <strong>am</strong> <strong>Arbeitsplatz</strong> können<br />
folgende Interessen <strong>und</strong> technische Einrichtungen unserer Firma beeinträchtigt<br />
werden:<br />
- Speicherkapazität <strong>und</strong> Netzwerkbandbreite durch <strong>über</strong>mässige <strong>Internet</strong>-<br />
<strong>und</strong> E-<strong>Mail</strong>-Nutzung;<br />
- Daten- <strong>und</strong> Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit)<br />
durch Einfuhr von Viren, Würmern, Trojanischen Pferden oder<br />
Installation von fremden Progr<strong>am</strong>men;<br />
- Arbeitszeit <strong>und</strong> andere finanzielle Interessen (Produktivitätsverluste,<br />
Kostensteigerung für zusätzliche Mittel <strong>und</strong>/oder Leistungen, Netzkosten,<br />
usw.);<br />
- weitere rechtlich geschützte Interessen, wie Ruf, Fabrikations- <strong>und</strong><br />
Geschäftsgeheimnisse oder Datenschutz.<br />
C.2.2 Interessen <strong>und</strong> Risiken des Arbeitnehmers<br />
Die Informations- <strong>und</strong> Kommunikationsinteressen des Arbeitnehmers,<br />
die mit der Benutzung des <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong> <strong>am</strong> Arbeitplatz verb<strong>und</strong>en<br />
sind, sind u. a. mit arbeits-, datenschutz- <strong>und</strong> ges<strong>und</strong>heitsschutzrechtlichen<br />
sowie wirtschaftlichen Risiken verb<strong>und</strong>en.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
46<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
C.3 Technische Schutzmassnahmen <strong>und</strong> Protokollierungen<br />
C.3.1 Technische Schutzmassnahmen<br />
Folgende technische Schutzmassnahmen werden in unserer Firma eingesetzt:<br />
- ...<br />
- ...<br />
- ...<br />
Kapitel 3 unseres <strong>Leitfaden</strong>s listet die wichtigsten technischen Schutzmassnahmen<br />
auf.<br />
C.3.2 Protokollierungen<br />
Unsere Informatikmittel führen Protokollierungen <strong>über</strong> die wichtigsten<br />
durchgeführten Aktivitäten durch. Eine Protokollierung definiert sich als<br />
fortlaufende Aufzeichnung der Randdaten „wer“, „was“, „wann“ <strong>und</strong><br />
findet in unserer Firma an folgenden Stellen statt:<br />
- ...<br />
- ...<br />
- ...<br />
Hier muss das Unternehmen die für ihn nötigen Protokollierungen, deren<br />
Zweck, Inhalt <strong>und</strong> Aufbewahrungsdauer angeben. D<strong>am</strong>it kommt die<br />
Firma ihrer Informationspflicht <strong>über</strong> die Datenbearbeitungen <strong>und</strong> –<br />
s<strong>am</strong>mlungen gemäss Art. 4 Abs. 2 DSG nach. Fehlt diese Information, so<br />
sind die Protokollierungen beim Eidg. Datenschutzbeauftragten gemäss<br />
Art. 11 Datenschutzgesetz anzumelden. Kapitel 4 sowie Anhang A<br />
unseres <strong>Leitfaden</strong>s informieren <strong>über</strong> die wichtigsten Protokollierungsarten.<br />
Die Protokollierung von privaten E-<strong>Mail</strong>s enthält nur die E-<strong>Mail</strong>-Adresse<br />
des Arbeitnehmers, den Vermerk „privat“, das Datum <strong>und</strong> die Zeitangaben.<br />
C.4 Nutzungsregelung<br />
Ob Arbeitnehmer das Recht haben, <strong>am</strong> <strong>Arbeitsplatz</strong> <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong><br />
für private Zwecke zu nutzen, hängt in erster Linie vom Willen des Arbeitgebers<br />
ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses<br />
hat er ein Weisungsrecht. Der Umfang der Nutzungsberechtigung<br />
kann je nach Arbeitnehmerkategorie <strong>und</strong> ihren beruflichen Bedürfnissen<br />
unterschiedlich sein.<br />
Kapitel 5 unseres <strong>Leitfaden</strong>s gibt Anhaltspunkte, wie ein Unternehmen<br />
das Surfen <strong>und</strong> E-<strong>Mail</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> regeln kann. In diesem Kapitel
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
47<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
sind konkrete <strong>und</strong> unmissverständliche Regeln aufzustellen. Die Nutzungsregelung<br />
ist bei Bedarf zu aktualisieren.<br />
C.5 <strong>Überwachung</strong>sregelung<br />
C.5.1 Vorrang technischer Schutzmassnahmen<br />
Unsere Firma verpflichtet sich, in erster Linie technische Schutzmassnahmen<br />
gegen Missbrauch <strong>und</strong> technischen Schaden einzusetzen.<br />
Sie passt die technischen Schutzmassnahmen regelmässig dem neusten<br />
Stand der Technik an. Die Anpassung erfolgt auch nach einer technischen<br />
Störung.<br />
Nur wenn ein Missbrauch trotz technischen Schutzmassnahmen nicht<br />
verhindert werden kann, darf sie personenbezogene Auswertungen<br />
der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Protokollierungen vornehmen.<br />
Unsere Firma verzichtet auf den Einsatz von Spionprogr<strong>am</strong>men.<br />
C.5.2 Auswertung der Protokollierungen<br />
Zur Kontrolle der Einhaltung der Nutzungsregelung wertet unsere Firma<br />
die Protokollierungen in anonymer oder pseudonymer Form aus.<br />
Bei der anonymen Auswertung geht es um die statistische Analyse der<br />
Protokollierungen nach folgenden Kriterien: (Hier hat das Unternehmen<br />
oder die Verwaltungseinheit die in Frage kommenden Kriterien anzugeben,<br />
vgl. Kapitel 8.3 des <strong>Leitfaden</strong>s).<br />
Die pseudonyme Auswertung erfolgt nur stichprobenartig. Hier hat die<br />
Firma den Zeitplan <strong>und</strong> die Zeitspanne, in welcher die Stichprobe erfolgt,<br />
anzugeben (vgl. dazu Kapitel 8.4.1 des <strong>Leitfaden</strong>s).<br />
Um die Anonymität <strong>und</strong> Pseudonymität zu gewährleisten, wird unsere<br />
Firma die untersuchte Personenmenge genügend gross halten <strong>und</strong> die<br />
Protokollierungen von der Korrespondenzliste physisch <strong>und</strong> funktionell<br />
getrennt aufbewahren (vgl. Kapitel 8.3 des <strong>Leitfaden</strong>s).<br />
Wird bei der anonymen oder pseudonymen Auswertung ein Missbrauch<br />
festgestellt oder entsteht ein Missbrauchsverdacht, so werden<br />
die Auswertungen der Protokollierungen durch Verknüpfung mit der<br />
Korrespondenzliste n<strong>am</strong>entlich ausgewertet. Als Missbrauch wird eine<br />
Verletzung des Nutzungsreglements verstanden. Die Sanktionen gemäss<br />
§ 5.8 dieses Reglements können ergriffen werden.<br />
Erhärtet sich ein Missbrauchsverdacht nicht, so stellt unsere Firma die<br />
n<strong>am</strong>entliche Auswertung der Protokollierung sofort ein.<br />
Hier hat die Firma anzugeben, wer für die n<strong>am</strong>entliche Auswertung der<br />
Protokollierung zuständig ist. In der Regel <strong>über</strong>nimmt der Datenschutzberater<br />
der Firma diese Funktion (vgl. Anhang B 3).<br />
Wenn eine Straftat durch Auswertung der Protokollierungen oder
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
48<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
durch andere Hinweise festgestellt oder vermutet wird, sichert unsere<br />
Firma die entsprechenden Protokollierungen. Sie behält sich das Recht<br />
vor, Anzeige gegen die betroffene Person zu erstatten. Das weitere Vorgehen<br />
ist Sache der zuständigen Strafjustizbehörde. Unsere Firma verpflichtet<br />
sich, das Resultat der Ermittlungen gegen<strong>über</strong> unberechtigten<br />
Dritten, insbesondere gegen<strong>über</strong> den anderen Mitarbeitern, vertraulich<br />
zu behandeln.<br />
Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten,<br />
nicht bei den Informatikdiensten. Es besteht keine Anzeigepflicht.<br />
Es ist jedoch empfehlenswert, zumindest im Zus<strong>am</strong>menhang<br />
mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft<br />
zu verhindern.<br />
C.5.3 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong><br />
Funktionstüchtigkeit des betrieblichen EDV-Systems oder aufgr<strong>und</strong><br />
anderer Hinweise<br />
Manifestiert sich eine Störung des EDV-Systems trotz technischen<br />
Schutzmassnahmen, können bei der Suche nach deren Ursache die<br />
Protokollierungen beigezogen werden.<br />
Stellt die Ursache der Störung einen Missbrauch dar, kann der identifizierte<br />
Mitarbeiter gemäss § 5.8 dieses Reglements sanktioniert werden.<br />
Stellt man einen Missbrauch fest oder entsteht ein Missbrauchsverdacht<br />
durch andere Hinweise, können falls nötig die entsprechenden<br />
Protokollierungen oder deren Auswertungen beigezogen werden. Bei<br />
erwiesenem Missbrauch können die Sanktionen gemäss § 5.8 dieses<br />
Reglements ergriffen werden.<br />
C.5.4 Unterscheidung zwischen private <strong>und</strong> geschäftliche E-<strong>Mail</strong>s<br />
Private E-<strong>Mail</strong>s sind von den internen <strong>und</strong> externen Absendern durch<br />
die Vermerkoption „privat“ zu kennzeichnen.<br />
Die Einsichtnahme <strong>und</strong> weitere Bearbeitung von E-<strong>Mail</strong>s, welche als<br />
„privat“ gekennzeichnet sind, bleibt unserer Firma verwehrt.<br />
Wenn kein Unterscheidungsvermerk zwischen privaten <strong>und</strong> geschäftlichen<br />
E-<strong>Mail</strong>s besteht <strong>und</strong> die private Natur eines E-<strong>Mail</strong>s aufgr<strong>und</strong> der<br />
Adressierungselemente nicht erkennbar <strong>und</strong> nicht anzunehmen ist,<br />
darf unsere Firma davon ausgehen, dass das E-<strong>Mail</strong> geschäftlich ist.<br />
Bestehen Zweifel <strong>über</strong> die Natur eines E-<strong>Mail</strong>s, ist sie mit dem Angestellten<br />
zu klären. Interne <strong>und</strong> externe Absender sind dar<strong>über</strong> ausdrücklich<br />
zu informieren.<br />
Für einen besseren Schutz privater E-<strong>Mail</strong>s empfiehlt die Firma, einen<br />
webbasierten, verschlüsselten E-<strong>Mail</strong>-Dienst zu benutzen.<br />
Ob internetbasierte, verschlüsselte E-<strong>Mail</strong>-Dienste <strong>über</strong>haupt benutzt
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
49<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
werden dürfen, hängt vom Nutzungsreglement ab. Ist die private <strong>Internet</strong>nutzung<br />
verboten, so fällt diese Möglichkeit weg.<br />
Die Firma kann auch zur besseren Unterscheidung zwischen privaten<br />
<strong>und</strong> geschäftlichen E-<strong>Mail</strong>s die n<strong>am</strong>enlose, funktionelle Adressierung<br />
für die Geschäftskorrespondenz einführen (vgl. Kapitel 8.5.2).<br />
C.5.5 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs<br />
Unsere Firma hat das Recht, die geschäftlichen E-<strong>Mail</strong>s zu protokollieren<br />
<strong>und</strong> bei Bedarf zu sichern.<br />
Die Protokollierung der geschäftlichen E-<strong>Mail</strong>s betrifft u. a. die Betreffzeile,<br />
Datum, Zeit, Absender- <strong>und</strong> Empfängeradressen.<br />
C.5.6 Die E-<strong>Mail</strong>-Verwaltung bei Abwesenheiten eines Mitarbeiters<br />
Bei Abwesenheiten definiert der Mitarbeiter einen Stellvertreter mit<br />
abgestufter Berechtigung zur Einsicht <strong>und</strong> Weiterbearbeitung der geschäftlichen,<br />
eingehenden e-<strong>Mail</strong>s.<br />
Die als „privat gekennzeichneten E-<strong>Mail</strong>s sind für den Stellvertreter<br />
nicht sichtbar.<br />
Die externen Absender müssen informiert werden, dass private E-<strong>Mail</strong>s<br />
als solche zu kennzeichnen sind, ansonsten sie durch den Stellvertreter<br />
eingesehen werden können.<br />
C.5.7 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Mitarbeiters<br />
Vor dem Austritt hat der Mitarbeiter die noch hängigen Geschäfte wie<br />
E-<strong>Mail</strong>s intern weiterzuleiten.<br />
Der Mitarbeiter hat die Übergabe sämtlicher Geschäftsdokumente an<br />
die Firma zu bestätigen.<br />
Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-<strong>Mail</strong>s<br />
<strong>und</strong> andere Dokumente auf private Datenträger zu speichern <strong>und</strong> aus<br />
den Servern der Firma zu löschen.<br />
Beim Austritt (oder Todesfall) ist spätestens <strong>am</strong> letzten Arbeitstag sein<br />
E-<strong>Mail</strong>-Account (wie übrigens auch alle anderen EDV-Accounts) zu<br />
sperren <strong>und</strong> sein Briefkasten (wie alle anderen persönlichen Datenträger)<br />
zu löschen.<br />
Absender, welche E-<strong>Mail</strong>s an die gesperrte E-<strong>Mail</strong>-Adresse schicken,<br />
werden automatisch informiert, dass die Empfängeradresse hinfällig<br />
ist. In der automatischen Antwort wird eine geeignete Ersatz-E-<strong>Mail</strong>-<br />
Adresse der Firma angegeben.<br />
C.5.8 Sanktionen bei Missbrauch<br />
Wenn die Voraussetzungen <strong>und</strong> die Regeln der <strong>Überwachung</strong> eingehalten<br />
worden sind, kann die Firma im Falle eines erwiesenen Missbrauchs
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
50<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
arbeitsrechtliche Sanktionen gegen den fehlbaren Mitarbeiter aussprechen.<br />
Hier hat das Unternehmen die Sanktionen aufzulisten, die es im Falle<br />
eines Missbrauchs zu treffen gedenkt. In Frage kommen z. B. Abmahnungen,<br />
Sperrungen des <strong>Internet</strong>zugriffs, Schadenersatzforderungen,<br />
Streichung von Sonderprämien, usw. [vgl. dazu Kapitel 10 unseres <strong>Leitfaden</strong>s].<br />
In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer<br />
Störung trotz Abmahnung oder bei erwiesenen Straftaten kann<br />
der Arbeitgeber sogar die Entlassung aussprechen. Die fristlose Entlassung<br />
eines Arbeitnehmers kann nur ausgesprochen werden, wenn<br />
dem Arbeitgeber nach Treu <strong>und</strong> Glauben die Fortsetzung des Arbeitsverhältnisses<br />
nicht mehr zugemutet werden kann. Die Sanktionen müssen<br />
der Schwere des jeweiligen Missbrauches angepasst <strong>und</strong> in ihrem<br />
Umfang bereits in diesem <strong>Überwachung</strong>sreglement bestimmt sein.<br />
Vor einer Löschung missbräuchlich erworbenen Dateien werden die<br />
betroffenen Arbeitnehmer informiert <strong>und</strong> es wird ihnen die Möglichkeit<br />
gegeben, die betreffenden Dateien, z. B. E-<strong>Mail</strong>s, auf privaten Datenträgern<br />
zu speichern.<br />
C.5.9 Ansprüche des Mitarbeiters bei unzulässiger <strong>Überwachung</strong> durch<br />
die Firma<br />
Bei Verletzung der Voraussetzungen <strong>und</strong> Regeln der <strong>Überwachung</strong> der<br />
Surf- <strong>und</strong> E-<strong>Mail</strong>-Aktivitäten, stehen dem betroffenen Mitarbeiter die zivilrechtlichen<br />
Ansprüche wegen Persönlichkeitsverletzung zu (vgl. Art.<br />
28 ff ZGB).<br />
Der betroffene Arbeitnehmer kann im Falle einer missbräuchlichen<br />
<strong>Überwachung</strong> durch die Firma auch strafrechtliche Mittel ergreifen. Zu<br />
denken ist insbesondere an die Anzeige wegen Verletzung des Geheimoder<br />
Privatbereiches durch Aufnahmegeräte (Art. 179 quater StGB) oder<br />
wegen unbefugten Beschaffens von Personendaten (Art. 179 novies StGB).<br />
C.5.10 Weitere Bestimmungen<br />
Unsere Firma schult regelmässig die Mitarbeiter <strong>über</strong> die Risiken im Zus<strong>am</strong>menhang<br />
mit der Benutzung von <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong>.<br />
Sowohl die Informatikdienste als auch die Vorgesetzten unserer Firma<br />
haben die Personendaten, die sie im Zus<strong>am</strong>menhang mit einer <strong>Überwachung</strong><br />
bearbeiten, durch angemessene technische Massnahmen gegen<br />
unbefugte Zugriffe zu schützen.<br />
Sie sorgen insbesondere für die Vertraulichkeit, die Verfügbarkeit <strong>und</strong><br />
die Integrität der Personendaten.<br />
Der Arbeitnehmer darf von der Firma jederzeit Auskunft dar<strong>über</strong> verlan-
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
51<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
gen, ob <strong>und</strong> welche Daten <strong>über</strong> ihn bearbeitet werden.<br />
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen<br />
oder einen anderen Rechtfertigungsgr<strong>und</strong> an unberechtigte Dritte<br />
bekannt gegeben werden. Die Arbeitskollegen der betroffenen Person<br />
gelten als Dritte.<br />
Der Firma obliegt keine gesetzliche Aufbewahrungspflicht im Zus<strong>am</strong>menhang<br />
mit Protokollierungen. Zu Beweissicherungszwecken dürfen<br />
die Protokollierungen für eine beschränkte Zeit, in der Regel nicht länger<br />
als vier Wochen, aufbewahrt werden.<br />
Die Aufbewahrungsdauer hängt vom Zweck der Protokollierung ab. Im<br />
Rahmen von Sanktionsverfahren oder Strafverfolgungen dürfen sie bis<br />
zum Ablauf der entsprechenden Rechtsmittelfristen aufbewahrt werden.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
52<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
1 URL: Uniform Resource Locator wie z. B. http://www.unerwuenscht.ch.<br />
2 Duden Informatik, 2. Auflage, Mannheim, Leipzig, Zürich, Wien, 1993.<br />
3 Z. B. das Progr<strong>am</strong>m Stripes.exe bei MS-DOS.<br />
4 Vgl. dazu auch <strong>Leitfaden</strong> des Eidg. Datenschutzbeauftragten <strong>über</strong> die<br />
technischen <strong>und</strong> organisatorischen Massnahmen.<br />
5 Service Pack, Service Release, Hotfixes, Patches, usw.<br />
6 Z. B. Cookies ablehnen oder Javascript ausschalten, um E-<strong>Mail</strong>-Wiretaps<br />
(Abhörung) zu verhindern.<br />
7 Die Firewall kann mit der sogenannten Network Address Translation<br />
NAT die persönlichen IP-Adressen durch eine öffetliche Firmen-IP-<br />
Adresse ersetzen, <strong>und</strong> somit einen Hackerangriff von aussen verhindern.<br />
8 Http, ftp, telnet, nntp, smtp, etc.<br />
9 Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, usw.<br />
10 Beim Schliessen des <strong>Internet</strong>-Browsers werden die Protokollierungsprogr<strong>am</strong>me<br />
nicht informiert.<br />
11 Motion Fritz Reimann vom 12. Dezember 1984 betreffend Persönlichkeitsschutz<br />
des Arbeitnehmers.<br />
12 Vgl. auch schriftliche Beantwortung der Motion durch den Nationalrat<br />
<strong>am</strong> 20. Februar 1985 sowie Bemerkungen des Wegleitungsentwurfes zu<br />
Art. 26 ArGV 3.<br />
13 Auch die Entstehungsarbeiten zu Art. 26 ArGV 3 wiesen im Zus<strong>am</strong>menhang<br />
mit der Telefon<strong>über</strong>wachung zu Recht darauf hin, dass erst<br />
bei einem konkreten Missbrauch die vollständigen Randdaten des Telefonverkehrs<br />
personenbezogen ausgewertet werden dürfen.
Eidgenössischer Datenschutzbeauftragter (EDSB)<br />
53<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
14 Vgl. dazu <strong>Leitfaden</strong> des Eidg. Datenschutzbeauftragten <strong>über</strong> die technischen<br />
<strong>und</strong> organisatorischen Massnahmen.<br />
15 Vgl. 9. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten, 2001/02,<br />
Kapitel 2.2.1, S. 19ff. insb. S. 21.<br />
16 Wird bspw. ein wiederholtes Zugriff auf die Homepage einer Zeitung<br />
durch das gleiche Pseudonym festgestellt, klärt man durch n<strong>am</strong>entliche<br />
Auswertung ab, ob die betreffende Person zugriffsberechtigt war.<br />
Je nach beruflicher Funktion (z. B. Presseverantwortlicher) kann der Zugriff<br />
gerechtfertigt sein.<br />
17 Vgl. 5. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten, 1997/98,<br />
S. 42/178.<br />
18 Die Verschlüsselung kann bspw. durch Benutzung von PGP-Software<br />
(Pretty Good Privacy) oder webbasierter E-<strong>Mail</strong>-Dienste wie<br />
Hushmail.com gewährleistet werden, wobei ein vollständiger Schutz<br />
nur erreicht wird, wenn sowohl Absender wie auch Empfänger einen<br />
verschlüsselten E-<strong>Mail</strong>-Dienst benutzen.<br />
19 Beispiel einer Austrittserklärung des Arbeitnehmers: „Ich bestätige<br />
hiermit, dass ich alle Eigentümer der Firma, inkl. geistige Eigentümer,<br />
sowohl physischer als auch elektronischer Art, zurückgegeben habe“.<br />
20 Die Spezialisten beraten Untersuchungsbehörden im Bereich Computerkriminalität<br />
<strong>und</strong> computergestützter Kriminalität. Vorermittlungen,<br />
<strong>und</strong> technische <strong>Überwachung</strong>smassnahmen werden von Ihnen in<br />
Funktion eines Sachverständigen unter richterlicher Einbindung in das<br />
Amtsgeheimnis begleitet. Dabei sind die Spezialisten für die gerichtsverwertbare<br />
Beweissicherung von digital gespeicherten Daten verantwortlich.<br />
In Form eines Gutachtens erstatten Sie der Untersuchungsbehörde<br />
Bericht <strong>über</strong> Ihre Analysen <strong>und</strong> geben Empfehlungen ab. Sie tragen<br />
dabei eine sehr hohe Verantwortung <strong>und</strong> können Ihre Ergebnisse<br />
auch vor Gericht vertreten.<br />
21 Vgl. Brunner, Waeber in „Commentaire du contrat de travail“, Schweizerischer<br />
Gewerkschaftsb<strong>und</strong>, Lausanne 1996, S. 42ff<br />
Version 2.0 / Dezember 2003